Invadir computador pode dar cadeia

Matéria publicada ontem (17/05/2012) no Jornal A Tribuna sobre a recente aprovação, pela Câmara dos Deputados, do Projeto de Lei 2.793/11, com a participação do autor do Blog (entrevistado).

Acesse: http://www.atribuna.com.br/noticias.asp?idnoticia=149541&idDepartamento=5&idCategoria=0

Programação XIII SIPA da A TRIBUNA

Palestra sobre crimes eletrônicos na XIII SIPAT da A TRIBUNA

Na próxima quinta-feira, dia 29, estarei proferindo palestra sobre CRIMES ELETRÔNICOS na XIII SIPAT da A TRIBUNA.

Programação abaixo:

Programação XIII SIPA da A TRIBUNA

Saudações, Rodrigo Marcos A. Rodrigues

Comentários iniciais sobre a Lei Azeredo – crimes eletrônicos

Em post anterior, publiquei a íntegra do Projeto de Lei nº 84/1999, que visa regular os crimes praticados na área de informática, sem emendas, pareceres etc, não é a redação final do projeto. Sim, estou falando do Projeto de Lei originário da Câmara, que após substitutivo ficou conhecido popularmente pelo nome de “Lei Azeredo”, uma referência ao relator Deputado Eduardo Azeredo. Prometi tecer meus comentários em futuro post. Aqui estou eu cumprindo a promessa. Neste primeiro post com os meus comentários, pincelei alguns trechos de pareceres em ordem cronológica.

Para iniciar, segue trecho do relatório da Comissão de Relações Exteriores e de Defesa Nacional, datado de 31 de outubro de 2000, que demonstra a falta de conhecimento dos legisladores sobre a matéria:

“Hoje, a legislação penal brasileira não dispõe de instrumentos para alcançar aqueles que invadem a privacidade alheia por intermédio de redes de computadores (cracker), ou disseminam vírus e destroem ou violam sistema (hacker)”.

Outro trecho, para que fique estreme de dúvidas a falta de conhecimento dos legisladores sobre a matéria:

“Tecnicamente, como exprime o texto, o crime se consumaria com o acesso à informação, porém, um cracker (invasores de recursos de informática pela rede da internet), que não tem o objetivo de destruir informações, visa tão somente acessar uma página – via browser (navegador) – burlando a segurança. Por outro lado, o hacker acessa o recurso e tenta danifica-lo, sejam as informações ou aplicativos”.

Ora, para os leigos é compreensível confundir o termo estrangeiro “hacker” com “cracker”, mas não para os legisladores. Na realidade, quem explora as vulnerabilidades de um sistema para invadi-lo é o hacker. Muitas vezes ele é contratado para que assim o faça, visando tornar um sistema mais seguro, ou seja, sua atividade pode ser plenamente lícita e autorizada, como também pode fazê-lo sem autorização, visando sua autopromoção, o feito entre a comunidade que faz parte. A origem do hacker está naquele nerd que trazia consigo conhecimentos avançados de informática e penetrava em um sistema por puro prazer. Já o “cracker” é o que invade para destruir, furtar dados, causar dano, quebrar códigos de softwares, ele é o lado mau do hacker. Existem outros termos estrangeiros, como “defacer”, que identifica a pessoa que altera as páginas iniciais de um site na internet, como aconteceu recentemente com os sítios do governo brasileiro.

O problema é que nossos legisladores sequer sabem diferenciar o joio do trigo, por isso o projeto de lei é perigoso. Nem ao menos sabem separar a conduta do chamado “hacker” do “cracker”. Querem legislar sobre tecnologia, para que? Um indivíduo será punido se invadir a privacidade alheia? Se há tipo penal que prevê punição no mundo físico, não há o que se falar em adaptação para o meio eletrônico. O objeto jurídico é o mesmo, o que muda é o meio.

Mais um trecho:

“Recentemente , dados da Receita Federal estavam sendo anunciados para a venda em classificados de jornais, sem que houvesse tipo penal específico para se punir os responsáveis”.

Quer dizer que haveria necessidade de criar um tipo penal específico para isso? É claro que não! O indivíduo furtou, receptou, não tenho ideia, mas a investigação policial deve ter apurado, informações de caráter confidencial que pertencem à União e publicou anúncio de venda no jornal para auferir vantagem ilícita. Não há tipo penal que se encaixe nessa conduta? Existe até mesmo qualificadora para aumentar a pena desse criminoso.

Continuo com os meus comentários num próximo post …. ainda vou chegar no polêmico artigo 22 da redação final do Projeto.

Rodrigo

Minhas considerações acerca dos ataques de hackers aos sites do governo

Homem sem sombra

Não há como não deixar de comentar os recentes ataques de hackers aos sites do Governo. Ainda ontem vi uma matéria no CQC.

Verdade é que para invadir basta explorar as vulnerabilidades de segurança do servidor.  Isso não é difícil, basta vontade e um pouco de conhecimento.

Existem inúmeras formas de hackear um site. É possível até mesmo através da própria URL quando a página envia informações pelo método GET, em que as variáveis ficam expostas ou através de um ataque denominado SQL injection. A tentação se encontra num banco de dados recheado de informações. Repare que alguns sites não permitem enviar apóstrofe ou aspas pelo formulário. Isso é uma precaução. Eu mesmo quando programava em Active Server Pages (ASP), fazia uma rotina para impedir o envio de certos caracteres.

Do lado do servidor, um grande problema são as portas de comunicação. Cada serviço utiliza uma. Lembro que era praxe alterar as portas padrões … entupir o tráfego é outra forma de ataque. Basta enviar milhares de e-mails ao mesmo tempo ou inúmeras requisições de serviço.

Ainda penso que criar um tipo penal para esse tipo de conduta específica não é a solução, mas quem sabe legislar sobre informação que é o bem mais precioso do século XXI.

Os hackers têm razão quando dizem que o governo precisa investir mais em tecnologia. Essa queda de braço somente será vencida pelo governo se a inteligência for colocada em prática, pois de nada adianta a força bruta no meio eletrônico.

Ao invadir, os hackers assumiram o risco. Se identificados poderão, sim, ser punidos. O problema está em identificá-los. Este é o jogo, pois de nada adianta a punição sem a identificação da autoria.

Se eles invadem e destroem, respondem pelo crime de dano. São os crackers. Neste caso, com uma qualificadora que poderá resultar em três anos de prisão para o agente. A própria invasão empreendida pelos hackers é um crime contra a Administração Pública, que prevê pena de reclusão de até cinco anos para o agente, com possibilidade de ser aumentada no caso de tornar inoperável o serviço governamental.

Saudações,

Rodrigo Marcos Antonio Rodrigues

Projeto de lei que pretende criminalizar condutas dos usuários de internet

Esta é a íntegra do projeto de lei originário, de autoria do Deputado Luiz Piauhylino, que visa regular os crimes praticados na área de informática. Importante salientar que já houveram emendas, pareceres e substitutivos que podem ser consultados no sítio da Câmara dos Deputados: www.camara.gov.br

Entendo que criminalizar todas as condutas nocivas dos usuários de internet não é a solução, alías pode até mesmo funcionar como um inibidor para a evolução natural da rede mundial de computadores, mas vou deixar para tecer meus comentários num futuro post, adiantando que a internet não é e nunca foi  uma “terra sem lei”, nossa legislação existente pode, deve e está sendo aplicada … não estamos vivenciando um antigo faroeste norte americano. Saudações, Rodrigo

PROJETO DE LEI Nº 84, DE 1999.

O Congresso Nacional decreta:

CAPÍTULO I

DOS PRINCÍPIOS QUE REGULAM A PRESTAÇÃO DE SERVIÇO POR REDES DE COMPUTADORES

Artigo 1º. O acesso, o processamento e a disseminação de informações através das redes de computadores devem estar a serviço do cidadão e da sociedade, respeitados os critérios de garantia dos direitos individuais e coletivos e de privacidade e segurança de pessoas físicas e jurídicas e da garantia de acesso às informações disseminadas pelos serviços da rede.

Artigo 2º. É livre a estruturação e o funcionamento das redes de computadores e seus serviços, ressalvadas as disposições especificas reguladas em lei.

CAPÍTULO II

DO USO DE INFORMAÇÕES DISPONÍVEIS EM COMPUTADORES OU REDES DE COMPUTADORES

Artigo 3º Para fins desta lei, entende-se por informações privadas aquelas relativas a pessoa física ou jurídica identificada ou identificável.

Parágrafo único. É identificável a pessoa cuja individuação não envolva custos ou prazos desproporcionados.

Artigo 4º. Ninguém será obrigado a fornecer informações sobre sua pessoa ou de terceiros, salvo nos casos previstos em lei.

Artigo 5º. A coleta, o processamento e a distribuição, com finalidades comerciais, de informações privadas ficam sujeitas à prévia aquiescência da pessoa a que se referem, que poderá ser tornada sem efeito a qualquer momento, ressalvando-se o pagamento de indenizações a terceiros, quando couberem.

§ 1º. A toda pessoa cadastrada dar-se-á conhecimento das informações privadas armazenadas e das respectivas fontes.

§ 2º. Fica assegurado o direito a retificação de qualquer informação privada incorreta.

§ 3º. Salvo por disposição legal ou determinação judicial em contrário, nenhuma informação privada será mantida à revelia da pessoa a que se refere ou além do tempo previsto para a sua validade.

§ 4º. Qualquer pessoa, física ou jurídica, tem o direto de interpelar o proprietário de rede de computadores ou provedor de serviço para saber se mantém informações a seu respeito, e o respectivo teor.

Artigo 6º. Os serviços de informações ou de acesso a bancos de dados não distribuirão informações privadas referentes, direta ou indiretamente, a origem racial, opinião política, filosófica, religiosa ou de orientação sexual, e de filiação a qualquer entidade, pública ou privada, salvo autorização expressa do interessado.

Artigo 7º. O acesso de terceiros, não autorizados pelos respectivos interessados, a informações privadas mantidas em redes de computadores dependerá de prévia autorização judicial.

CAPÍTULO III
DOS CRIMES DE INFORMÁTICA

Seção I

DANO A DADO OU PROGRAMA DE COMPUTADOR

Artigo 8º. Apagar, destruir, modificar ou de qualquer forma inutilizar, total ou parcialmente, dado ou programa de computador, de forma indevida ou não autorizada.

Pena: detenção, de um a três anos e multa.

Parágrafo único. Se o crime é cometido:
I – contra o interesse da União, Estado, Distrito Federal, Município, órgão ou entidade da administração direta ou indireta ou de empresa concessionária de serviços públicos;
II – com considerável prejuízo para a vítima;
III – com intuito de lucro ou vantagem de qualquer espécie, própria ou de terceiro;
IV – com abuso de confiança;
V – por motivo fútil;
VI – com o uso indevido de senha ou processo de identificação de terceiro; ou
VII – com a utilização de qualquer outro meio fraudulento.

Pena: detenção de dois a quatro anos e multa

Seção II

ACESSO INDEVIDO OU NÃO AUTORIZADO

Artigo 9º. Obter acesso, indevido ou não autorizado, a computador ou rede de computadores.

Pena: detenção, de seis meses a um ano e multa.

Parágrafo primeiro. Na mesma pana incorre quem, sem autorização ou indevidamente, obtém, mantém ou fornece a terceiro qualquer meio de identificação ou acesso a computador ou rede de computadores.

Parágrafo segundo. Se o crime é cometido:
I – com acesso a computador ou rede de computadores da União, Estado, Distrito Federal, Município, órgão ou entidade da administração direta ou indireta ou de empresa concessionária de serviços públicos;
II – com considerável prejuízo para a vítima;
III – com intuito de lucro ou vantagem de qualquer espécie, própria ou de terceiro;
IV – com abuso de confiança;
V – por motivo fútil;
VI – com o uso indevido de senha ou processo de identificação de terceiro; ou
VII – com a utilização de qualquer outro meio fraudulento.

Pena: detenção, de um a dois anos e multa.

Seção III

ALTERAÇÃO DE SENHA OU MECANISMO DE ACESSO A PROGRAMA DE COMPUTADOR OU DADOS

Artigo 10. Apagar, destruir, alterar, ou de qualquer forma inutilizar, senha ou qualquer outro mecanismo de acesso a computador, programa de computador ou dados, de forma indevida ou não autorizada.

Pena: detenção de um a dois anos e multa,

Seção IV

OBTENÇÃO INDEVIDA OU NÃO AUTORIZADA DE DADO OU INSTRUÇÃO DE COMPUTADOR

Artigo 11. Obter, manter ou fornecer, sem autorização ou indevidamente, dado ou instrução de computador.

Pena: detenção, de três meses a um ano e multa.

Parágrafo único. Se o crime é cometido:
I – com acesso a computador ou rede de computadores da União, Estado, Distrito Federal, Município, órgão ou entidade da administração direta ou indireta ou de empresa concessionária de serviços públicos:
II – com considerável prejuízo para a vítima;
III – com intuito de lucro ou vantagem de qualquer espécie, própria ou de terceiro;
IV – com abuso de confiança;
V – por motivo fútil;
VI – com o uso indevido de senha ou processo de identificação de terceiro; ou
VII – com a utilização de qualquer outro meio fraudulento.

Penas detenção, de um a dois anos e multa.

Seção V

VIOLAÇÃO DE SEGREDO ARMAZENADO EM COMPUTADOR, MEIO MAGNÉTICO, DE NATUREZA MAGNÉTICA, ÓPTICA OU SIMILAR

Artigo 12. Obter segredos, de indústria ou comércio, ou informações pessoais armazenadas em computador, rede de computadores, meio eletrônico de natureza magnética, óptica ou similar, de forma indevida ou não autorizada.

Pena: detenção, de um a três anos e multa.

Seção VI

CRIAÇÃO, DESENVOLVIMENTO OU INSERÇÃO EM COMPUTADOR DE DADOS OU PROGRAMA DE COMPUTADOR COM FINS NOCIVOS

Artigo 13. Criar, desenvolver ou inserir, dado ou programa em computador ou rede de computadores, de forma indevida ou não autorizada, com a finalidade de apagar, destruir, inutilizar ou modificar dado ou programa de computador ou de qualquer forma dificultar ou impossibilitar, total ou parcialmente, a utilização de computador ou rede de computadores.

Pena: reclusão, de um a quatro anos e multa.

Parágrafo único: se o crime é cometido:
I – contra o interesse da União, Estado, Distrito Federal, Município, órgão ou entidade da administração direta ou indireta ou de empresa concessionária de serviços públicos;
II – com considerável prejuízo para a vítima;
III – com intuito de lucro ou vantagem de qualquer espécie, própria ou de terceiro;
IV – por motivo fútil;
V – com o uso indevido de senha ou processo de identificação de terceiro ou com a utilização de qualquer outro meio fraudulento.

Pena: reclusão, de dois a seis anos e multa.

Seção VII

VEICULAÇÃO DE PORNOGRAFIA ATRAVÉS DE REDE DE COMPUTADORES

Artigo 14. Oferecer serviço ou informação de caráter pornográfico em rede de computadores, sem exibir, previamente de forma facilmente visível e destacada aviso sobre sua natureza, indicando o seu conteúdo e a inadequação para criança ou adolescentes.

Pena: detenção, de um a três anos e multa.

CAPITULO IV

DAS DISPOSIÇÕES FINAIS

Artigo 15. Se qualquer dos crimes previstos nesta lei é praticado no exercício de atividade profissional ou funcional, a pena é aumentada de um sexto até a metade.

Artigo 16. Nos crimes definidos nesta lei somente se procede mediante representação do ofendido, salvo se cometidos contra o interesse da União, Estado, Distrito Federal, Município, órgão ou entidade da administração direta ou indireta, empresa concessionária de serviços públicos, fundações instituídas ou mantidas pelo poder público, serviços sociais autônomos, instituições financeiras ou empresas que explorem ramo de atividade controlada pelo poder público, casos em que a ação é pública incondicionada.

Artigo 17. Esta lei regula os crimes relativos à informática sem prejuízo das demais cominações previstas em outros diplomas legais.

Artigo 18. Esta lei entra em vigor 30 (trinta) dias a contar da data de sua publicação.

JUSTIFICAÇÃO

Na legislatura passada o ilustre Deputado Cassio Cunha Lima apresentou o PL 1.713/96 que dispõe sobre o acesso, a responsabilidade e os crimes cometido nas redes integradas de computadores. Na justificativa do nobre Deputado, houve a preocupação com a transformação dessas redes de computadores em verdadeiros mercados, no sentido econômico da palavra, onde pessoas conversam, trocam informações e realizam transações comerciais, não existindo porém nenhuma legislação específica que regule as responsabilidade dos agentes envolvidos.

Distribuído inicialmente à Comissão de Ciência e Tecnologia, Comunicação e Informática, o PL 1.713/96 foi encaminhado a minha pessoa para ser o Relator do mesmo. Iniciei a discussão na comissão, inclusive com convocação de audiência pública e, em seguida com pessoas da área de informática, buscando identificar um texto que tratasse a matéria de uma forma mais global. Sob a coordenação do professor José Henrique Barbosa Moreira Lima Neto formou-se um grupo composto dos seguintes membros:

Dr. Damásio Evangelista de Jesus, advogado(SP)
Dr. Gilberto Martins de Almeida, advogado (RJ)
Dr. Ivan Lira de carvalho, Juiz Federal (RN)
Dr. Mário César Monteiro Machado, Juiz Auditor Militar (RJ)
Dr. Carlos Alberto Etcheverry, Juiz de Direito (RS)
Dr. Júlio César Finger, Promotor de Justiça (RS)
Dra. Marília Cohen Goldman, Promotora de Justiça (RS)
Dra. Ligia Leindecker Futterleib, advogada (RS)
Dr. Paulo Sérgio Fabião, Desembargador (RJ)

Este grupo, depois de vários debates “on-line” apresentou-me uma minuta do substitutivo ao referido PL 1.713/96. Ocorre que, por falta de tempo suficiente o substitutivo não foi devidamente apreciado, inclusive pelas demais comissões da Câmara dos Deputados, durante a legislatura passada, razão pela qual o PL foi arquivado. Portanto apresento agora o PL acima, o qual é resultado de um trabalho sério, depois de ouvir a sociedade, através de pessoas da mais alta qualificação.

Não podemos permitir que pela falta de lei, que regule os crimes de informática, pessoas inescrupulosas continuem usando computadores e suas redes para propósitos escusos e criminosos. Dai a necessidade de uma lei que, defina os crimes cometidos na rede de informática e suas respectivas penas.

Sala das Sessões, em __ de _____________ de 1999

Deputado LUIZ PIAUHYLINO

Tragédias e internet

Não é de hoje que observo indivíduos culparem a internet pelas recentes tragédias que acometem a humanidade. Vociferam que se trata de uma terra sem lei, que pessoas conectadas pregam o racismo e incitam a violência, ensinam práticas criminosas e conduzem as mentes fracas. Esses indivíduos pedem uma legislação mais dura e controladora, como subterfúgio à falta de educação e ensino moral que assola o país.

A falta de moral, a loucura, a maldade, a psicose são problemas que a sociedade enfrenta antes da vinda de Cristo a Terra.

Não há dúvidas de que a internet derrubou fronteiras e criou um fenômeno social nunca antes visto, mas tratar tal fenômeno como algo maléfico é tarefa para radicais, os mesmos que sonham com a volta da ditadura.

Em face das tragédias que acometem a humanidade nos resta rezar, ser solidário com a dor de quem sofre, mas sobretudo refletir antes de  pedir o cerceamento de nossa própria liberdade.

Saudações, Rodrigo Marcos Antonio Rodrigues

Condenação por estupro no Second Life

O Dr. José Carlos de Araújo Almeida Filho, presidente do IBDE, em entrevista concedida a um programa de televisão por ocasião do III Congresso Internacional de Direito Eletrônico, comentou um absurdo que realmente me chamou a atenção e serve de alerta para a interpretação das leis em face das novas tecnologias.

Cena do Second Life

Cena do Second Life

Trata-se da condenação de um Avatar por crime de estupro ocorrido dentro do Second Life. Meu de Deus do céu! Para quem não conhece, o Second Life é um programa que gera um ambiente virtual tridimensional em que você explora controlando um Avatar. Pode ser encarado como um game, uma rede social, enfim, não há nada de real. Basta fechar o programa ou desligar o computador para acabar com essa “Segunda Vida”.

Tudo bem que esse ambiente possa ser utilizado para a prática de crimes eletrônicos da mesma forma do que outros na internet, um crime contra a honra ou direitos autorais, por exemplo, mas estupro? Absurdo! Não sei em que país aconteceu, no Brasil somente com conjunção carnal entre dois seres humanos!

Saudações,

Rodrigo Marcos Antonio Rodrigues

Confira cartilha com dicas sobre uso seguro da internet para toda a família

A Comissão de Crimes de Alta Tecnologia da OAB/SP em parceria com a Universidade Mackenzie, lançou interessante cartilha sobre “USO SEGURO DA INTERNET PARA TODA A FAMÍLIA – recomendações e boas práticas”. Privacidade, liberdade de expressão, crimes de preconceito e contra o direito autoral, pornografia infantil, cyberbullying, vale a pena conferir e se informar. Clique aqui  para acessar a cartilha no formato PDF.

Saudações,

Rodrigo Marcos Antonio Rodrigues

Procurador-geral norte-americano divulga sentença de morte no twitter

No ano passado, Mark Shurtleff publicou em sua conta no twitter, por meio de um iPhone, a decisão de autorizar a execução do preso Ronnie Gardner. Momentos depois, o condenado havia sido fuzilado. Alguns minutos depois, a expressão “pilotão de fuzilamento” (firing squad) tornou-se uma das mais citadas no twitter, indo parar na lista de trending topics.

Isso ocorreu no estado de Utah e o próprio condenado escolheu a forma de execução. Ele havia matado um advogado durante uma tentativa de fuga num tribunal. 

Estou pensando em pedir para o Mark divulgar uma decisão liminar num MS que tenho na seção judiciária de São Paulo, calma, explicarei o motivo. O oficial de justiça encarregado deixou de notificar a autoridade coatora, notificou numa segunda diligência, mas não entregou a contrafé e o teor da decisão. O número do processo ela já tem ….

Com tamanha popularidade, ao menos a decisão ganharia efeito erga omnes …. o ideal é que a expressão “CESSE O ATO ILEGAL” apareça na lista de trending topics :)

Ai, se a moda pega!

Abraços,

Rodrigo Marcos Antonio Rodrigues