Esta semana li no abs-cbnNEWS.com uma matéria sobre um jovem parlamentar das Filipinas, Kabaatan, questionando a eficácia do Projeto de Lei do Governo, o House Bill 6974 ou o Cibercrime Prevention Act of 2009.  De fato, muitos pontos me lembraram o Brasil, onde a liberdade de expressão e de imprensa é colocada em pauta quando se trata do projeto de Lei de Crimes Digitais. Assim como nós, lá também não se tem uma definição clara do que seja cybercrime.

Mas o exemplo gritante vem da seção 4 do projeto de Lei do país em tela, que prevê nada menos que  a distribuição, exibição e registro de atos privados e outros atos obscenos e indecentes serão criminalizados.

A lei passa a punir a gravação de vídeos em momentos íntimos entre namorados, ficantes, noivos e casados. Todos sabemos que estes são atos privados que tem causado muitos problemas aos protagonistas das fotos e vídeos, quando do termino de um relacionamento amoroso. As mídias vão para a Internet e é muito complicado removê-las.

O problema é que a lei não limita os “atos privados” a atos sexuais. Ou seja, todos que gravarem, exibirem ou distribuirem atos privados, de qualquer natureza, serão punidos. Isso mesmo, uma reunião da empresa,  um interrogatório, uma escuta telefônica, uma palestra estratégica, um flagra comercial, são apenas alguns exemplos de gravações privadas, e que podem ser consideradas condutas criminosas nas Filipinas, com punição dos respectivos agentes.

Um outro problema é que atos inescrupulosos de governantes podem ser considerados atos privados, moral da história, todo o jornalista que denunciar um ato privado gravado será um criminos digital. É a lei de crimes digitais favorecendo a improbidade administrativa.

Outro problema levantado na legislação Filipina é justamente a perícia digital, eis que a Seção 9 do projeto autoriza uma devassa investigacional nos indiciados, sendo que permite a apreensão de arquivos e o monitoramento completo do tráfego, mesmo que fora do escopo das atividades investigadas, o que pode ferir também a privacidade de terceiros.

Segundo o congressista: “This is dangerous because it gives the government an excuse to justify illegal fishing expeditions against ordinary citizens and allows the wanton violation of the strict requirements in criminal procedure.”

Mas o mais interessante é que o congressista que critica o projeto de lei, também frizou a necessidade de uma consulta pública sobre leis de internet, assim como no Brasil, o que demonstra que o Brasil está no caminho correto para a definição de regras sobre o uso dos meios digitais e Internet.

O país também enfrenta uma onda constante de defacering em sites do Governo, e o legislador entrevistado afirma que a lei não ajudará a reduzir tais ataques, mas sim o investimento em infra-estrutura de tecnologia da informação pública. No Brasil, penso que esta deva ser a linha de ação.

O importante é que os agentes do marco civil saibam aprender com o erro de outros países, como o das Filipinas, que ao não especificar “atos privados” como os sexuais, acabou por ferir gravemente a liberdade de seus indivíduos. Lá, o texto será reexaminado pela casa legislativa. Aqui, não temos mais o direito de errar.

Fonte: http://www.abs-cbnnews.com/technology/01/16/10/young-lawmaker-says-cybercrime-bill-too-vague

Cidadão pode perder o direito de recarregar seu celular quando bem entender, em nome da segurança e da repressão ao furto de celulares.

A redação está estampada no Projeto de Lei 5519/2009, de autoria do Deputado Federal Dr. Talmir, do PV de São Paulo.

Segundo a redação do Projeto, em seu artigo 1o., o usuário estará obrigado a exibir a identificação internacional do aparelho (IMEI), no momento que comprar créditos para linhas pré-pagas. Além disso, os créditos devem ser colocados no momento da compra.

Para ler o artigo completo clique aqui: http://www.legaltech.com.br/blog/?p=257

Fim de ano, época em que adminsitradores de sistemas  pensam que podem ficar offline, mas principalmente, época de velhas e desatualizadas “listinhas” de segurança para não ser vitima de golpes e fraudes na Internet.

Se você pensa que já viu o necessário e que está realmente seguro de ataques de crackers, espere até ler o artigo abaixo, um pequeno alerta de que as coisas mudam e as ameaças, podem ser outras!

http://imasters.uol.com.br/artigo/15319/seguranca/crime_eletronico_em_epoca_de_festas/

Um abraço!

Milagre

www.twitter.com/periciadigital

Inicialmente quero agradecer aos leitores pelas mensagens recebidas quando do último post onde explicamos como trabalhar com a forense digital, oportunidade onde pudemos explorar com maior profundidade sobre o que já foi publicado sobre o tema, o dia-a-dia do trabalho de um perito, desmistificando alguns mitos.

Na sequência, disponibilizo um vídeo que fizemos acerca do tema, mais uma vez repisando a conceituação desta área cuja linha de proceder, interliga-se com áreas de gestão de continuidade, service level, security, jurídico e gerenciamento de incidentes.

O que é forense digital e quais os casos onde a perícia pode ser decisiva? Esta resposta você vê aqui http://www.youtube.com/watch?v=Gtcss88GLaM.

Peço desculpa aos leitores pela baixa qualidade da produção, mas sinceramente, acredito que a mensagem é que deva ser considerada.

Um abraço e fiquem em paz!

Carreira promissora amadurece nos últimos anos no Brasil e cresce com o anúncio das primeiras regulamentações e Leis sobre infrações civis e crimes eletrônicos. Entenda como atuar com perícia em informática.

Reconstruir o passado, constatar a materialidade e apurar a autoria de incidentes cometidos com o requinte dos bits. Esta é a função da perícia digital, perícia computacional ou forense digital, carreira que mescla a formação jurídica com a tecnologia da informação e que é crescente na esfera pública e privada, à medida em que conflitos, fraudes, furtos e agressões passam a ser cometidas por intermédio de dispositivos informáticos e telemáticos, de um computador de mesa a um dispositivo móvel celular.

A ciência que tem em torno de quinze anos no país, destinada inicialmente a auxiliar a criminalística na apuração de crimes eletrônicos, no Brasil, passa a ser considerada também uma área corporativa afeta à segurança da informação, governança, risco e conformidade, dado o número crescente de fraudes informáticas cometidas por colaboradores de empresas.

“As infrações cometidas sob o suposto anonimato virtual são crescentes, no entanto pessoas ainda insistem a classificar a perícia digital ou forense computacional como mero resgate cientifico de dados ou clonagem de discos, o que é uma premissa mais que incorreta”, salienta José Antonio Milagre, um dos primeiros peritos digitais do Brasil, Diretor de Relacionamentos com Law Enforcement na LegalTech Brasil, Diretor do GU de Direito Digital e CyberCrimes da SUCESU-SP, e Professor da Pós em Computação Forense na Universidade Presbiteriana Mackenzie, uma das primeiras no país a formar profissionais aptos a reconstruir o passado no cyber espaço.

Confira a entrevista completa em “Como ser um perito Digital”

Conheça também o F.A.Q do Cybercrime.

Fui vítima de difamação ou crime contra a honra na Internet, o que fazer?

Antes mesmo de fazer o Boletim de Ocorrência em uma delegacia é indispensável que a vítima colete e preserve adequadamente as evidências do crime eletrônico. Normalmente, arquivos, e-mails em diversos padrões, telas ou screenshots de páginas são as provas que constituem o corpo de delito eletrônico.

Em razão de serem informatizadas, as provas de um crime são absolutamente voláteis, de modo que devem ser coletas por um especialista. É comum vitimas coletarem provas de forma equivocada, onde desaparecem-se dados que poderiam levar a Autoria dos crimes praticados no “Suposto” anonimato.

Conheça no F.A.Q avançado do CyberCrime, tudo que você ou sua empresa precisa saber sobre como agir em casos de crimes eletrônicos.

Acesse aqui

Diante da clássica, sofrível, mas conhecida morosidade do legislativo federal brasileiro em regulamentar temas relativos à tecnologia e internet, Associações brasileiras especializadas no setor se uniram e criaram o chamado Código de Auto Regulamentação do E-mail Marketing, a fim de fomentar a utilização do e-mail como ferramenta de marketing de forma ética e responsável, aprovado em julho de 2009.

Tem-se um marco de auto-regulamentação que tende a embasar uma futura legislação, que garanta o respeito para com as informações fornecidas pelo consumidor diante de uma compra ou por outros meios, principalmente com seu e-mail, evitando o envio e recebimentos de SPAM, mensagens não solicitadas. Importa dizer que inúmeros projetos que punem o Spammer estão em trâmite no Congresso Nacional…Em trâmite… O projeto de Lei 84/1999, que regulamenta os crimes informáticos, expressamente irá prever como crime a utilização indevida de dados eletrônicos fornecidos por usuários na rede.

Com o Código, qualquer envio de e-mail marketing deve preceder nos moldes do art. 4O., inciso II, de prévia e expressa autorização do destinatário. Não vale mais aquela técnica maliciosa de primeiro disparar o e-mail, e caso o consumidor queira, tem a opção de sair da Lista de mailing.

Leia artigo completo aqui.

Nunca antes na história deste país, ao menos no que temos notícia, um ente público quebrou o gelo e expôs publicamente ainda que de forma indireta, o reconhecimento aos conhecimentos dos hackers brasileiros, adquiridos fora dos almofadados bancos acadêmicos das famosas faculdades de informática.

Algo a princípio utópico na área de segurança, que normalmente conta com profissionais sempre desconfiados e que nasceram com o chip do “desvie-se do risco”, aconteceu. Uma chamada pública feita pelo TSE para que hackers ou afins tentassem descobrir falhas de segurança na urna eletrônica de votação, e demais ativos que com ela se integram.

Não se quer aqui desmerecer a iniciativa interessante e pioneira do TSE, aliás dá um passo a frente de muitos Security Officers e CSOs de órgãos públicos que tem certeza que são Deuses e que gastam mais tempo contingenciando as fraudes dos “mequetrefes” da esquina do que reconhecendo suas habilidades e gerenciando riscos de forma pró-ativa. Os “tapa buracos”.

Leia o artigo completo em: http://www.legaltech.com.br/blog/?p=138

O caso envolvendo a suposta quebra de sigilo de usuários do Speedy e o hacker Vinícius Camacho (K-max) reascendeu a discussão sobre a postura ética de profissionais de segurança. Até que ponto devemos acreditar que se notificarmos uma falha não seremos perseguidos ou sofreremos um processo criminal?

Proponho esta discussão aos meus Leitores: O que fazer um com uma falha de segurança descoberta? A notificação judicial seria uma saída para deixar claro as boas intenções do hacker? As provas de conceito já não são vistas com bons olhos?

Sabe-se que a sociedade não está madura para discernir que nem todo o profissional de segurança, que realiza testes de intrusão, é uma pessoa nefasta e neste cenário, corre-se o risco evidente de tais profissionais terem contra si a ações judiciais propostas sem o menor fundamento.

Ao punir inocentes, a sociedade está fomentando os crimes eletrônicos? Nos querem todos iguais, pois como diria o músico, “Assim é bem mais fácil nos controlar”?

Fica a reflexão sobre o tema e sugiro um debate.

Não vou usar este espaço para explicar o caso envolvendo a Telefônica e o hacker K-max, mas quem tiver interesse em se informar, pode acessar o resumo neste site: http://freekmax.org/blog/?p=8

Um abraço

José Milagre
http://www.twitter.com/periciadigital

Disputa entre TVs revela estratégias virtuais de batalha e apresenta novos soldados cibernéticos. Como o Direito Digital lê este cenário.

Na terça-feira passada a população brasileira pôde presenciar o início da maior demonstração de desrespeito para com telespectadores, desde os tempos da ditadura militar. A briga entre TVs mais do que desmascarou os tão apregoados “critérios de imparcialidade informativa”, o que agora sabe-se, são inexistentes, mas acima de tudo, evidenciou uma nítida agressão a direitos difusos e coletivos.

Você, seu pai, seu irmão ou seu amigo podem não saber, mas no momento em que as televisões em conflito exibiam “dossiês” em seu horário nobre, preterindo a qualidade da informação, milhões de usuários tinham direitos constitucionais agredidos e arranhados, sem se quer se darem conta. O quanto deixamos de nos informar enquanto lavava-se roupa suja em programas que deveriam ser informativos?

Mas o pior, a batalha não ficou nas ondas hertazianas, e tivemos que assistir outras mídias do grupo das emissoras replicarem as ofensas ou contra-ataques, como numa ordem ditatorial top-down! Revistas, jornais e como se não bastasse, a Internet.

Achávamos que já tínhamos visto tudo, mas ontem tivemos conhecimento da ação de um grupo de hackers brasileiros, “Skynet Group”, que acessou indevidamente o site da Record e proferiu ofensas aos seus proprietários. Dúvidas à parte sobre tal ação ter sido patrocinada pela outra empresa, o fato é que esta conduta embasa uma série de reflexões que propomos no artigo da semana.

O fato é que, hoje percebemos que a motivação do atacante virtual não é mais a mesma; Se outrora agia por emulação, visando destaque em seu grupo, em outro momento agindo impulsionado pela ideologia (comum em países do oriente médio), hoje sabemos que o hacker brasileiro age, preponderantemente, pelo dinheiro. Até aí nenhuma novidade. Ocorre que agora este dinheiro pode ser da vítima, mas também pode ser do mandante do crime. O Hackerismo agora pode ser encomendado, assim como se encomenda um homicídio.

No caso da Rede Record, a técnica utilizada é conhecida como “Defacement”, do inglês, ato de modificar a superfície de um objeto. O “deface”, no jargão geek é considerado uma técnica de “pichação”, onde o invasor modifica o site da vítima, normalmente com textos ofensivos.

Mas é crime alterar um “index” de uma página qualquer? Ora, qual seria sua reação se chegasse para trabalhar em sua empresa e a sede estivesse completamente em chamas? A analogia é pertinente, pois aquele que altera página da Internet de terceiros, mais que destruir a página inicial, afeta sua relação com clientes, terceiros e principalmente, gera o chamado impacto de imagem, um dos mais difíceis de serem contingenciados.

Mas é possível punir estes criminosos, que realmente pensam que são úteis, libertários ou ideologistas? Para o mestre penalista Nelson Hungria, dados não poderiam ser objeto de destruição pelo crime de dano, eis que “o objeto material do crime de dano é a coisa imóvel ou móvel, devendo tratar-se obviamente, de coisa corpórea ou no sentido realístico, pois somente pode ser danificada por ação física”.

Por outro lado, esta interpretação não mais resiste a análise contemporânea, considerando que aplicando-se a chamada “interpretação histórico-evolutiva” muitos juizes no Brasil já condenam por dano eletrônico, crime previsto no artigo 163 do Código Penal, aqueles que destoem sistemas informáticos, de grandes ERPs à páginas na Internet.

Tanto é verdade que no Projeto de Lei de Crimes de Informática, o PL 84/1999, já aprovado no Senado, teremos a criação clara do crime de “Dano Informático”, que expressamente prevê que dados digitais podem ser passíveis de destruição:

Inserção ou difusão de código malicioso

Art. 163-A. Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado.

Pena – reclusão, de 1 (um) a 3 (três) anos, e multa.

Inserção ou difusão de código malicioso seguido de dano

§ 1º Se do crime resulta destruição, inutilização, deterioração, alteração, dificultação do funcionamento, ou funcionamento desautorizado pelo legítimo titular, de dispositivo de comunicação, de rede de computadores, ou de sistema informatizado:

Pena – reclusão, de 2(dois) a 4 (quatro) anos, e multa.

§ 2º Se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime, a pena é aumentada de sexta parte.”

Assim, ao difundir código malicioso em sistema informatizado que resultou em mera “alteração” do funcionamento do website, estes hackers já poderiam ser punidos. Poderiam, não fosse a morosidade legislativa em aprovar o Projeto de Lei em análise.

E se for constatado realmente que os ataques ao site da Record tiveram um “mandante”?

O Código penal deixa claro em seu artigo 29 que quem, de qualquer modo, concorrer para o crime, incide nas penas a este cominadas, na medida de sua culpabilidade. Assim, pela teoria monística, todo aquele que concorre para o crime, em verdade, causa-o. De modo que, autor é quem tem poder de decisão sobre a realização do fato e não só quem executa a conduta típica.

Outro ponto merece reflexão. Ao pixar o site da Record e colocar um “logo” da Rede Globo, estes imaturos bandidos simplesmente nos enalteceram mais uma característica do Direito Digital: a facilidade de alterar o estado das coisas e atribuir a autoria de crimes a outras pessoas! Assim como no Direito Digital é possível furtar e deixar a coisa furtada, também é possível facilmente utilizar ou subtrair credenciais alheias, e usá-las para um crime virtual. Aqui, identificamos caso clássico de calúnia (art.138) e denunciação caluniosa (art. 339 do Código Penal). Agora, até “explicar que focinho de porco não é tomada…”

Onde queremos chegar? Discernimento. Autoridades, peritos digitais e poderes constituídos terão que aprender rápido com os exemplos como este, cada vez mais gritantes em nossa sociedade, ou injustiças serão cometidas!

Estes são os “novos soldados”, soldados cibernéticos com super-poderes nas mãos, capazes de achincalhar qualquer conceito de prova eletrônica concebido ou chacotear os métodos ortodoxos de investigação policial. Pessoas que são mais nocivas não por praticarem os crimes na Internet, mas por poderem se passar por qualquer outra pessoa e principalmente, por nunca revelarem a quem efetivamente servem.

José Antonio Milagre

http://www.twitter.com/periciadigital

Pesquisador em Cyber Cultura, Advogado especialista em Direito Digital, MBA em Gestão de Tecnologia da Informação, Professor de Pós-Graduação na Universidade Presbiteriana Mackenzie, SENAC e UNIGRAN. Co-autor do livro “Internet: O Encontro de 2 Mundos” pela Editora Brasport, 2008. Colaborador no Livo “Legislação Criminal Especial”, organizado pelo Professor Luiz Flávio Gomes, Editora RT, 2009.