O que há de errado com o Projeto Azeredo?

Posted by Túlio Vianna

Uma rápida síntese das críticas que fiz ao Projeto de Lei de Crimes informáticos no debate de sexta-feira com o Sen. Azeredo:

1. Crimes informáticos NÃO são crimes contra a incolumidade pública. Crimes contra a incolumidade pública têm como nota característica a indeterminação do alvo, podendo gerar perigo comum a um número previamente incalculável de pessoas ou coisas não individualmente indeterminadas (Cf. HUNGRIA, v.IX, p.10). São exemplos de crimes contra a incolumidade pública: incêndio (art.250 CP), inundação (art.254 CP), epidemia (art.267 cp), etc. Crimes informáticos são crimes contra a privacidade e devem ser colocados entre os crimes contra a liberdade individual, como por exemplo violação de domicílio (art.150 CP), violação de correspondência (art.151 CP) e divulgação de segredo (art.153 CP).

2. O novo art.285-A proposto pelo projeto Azeredo exige para a tipificação do crime de acesso não autorizado a sistemas computacionais que haja “violação de segurança”, protegendo apenas computadores com “expressa restrição de acesso”, o que NÃO é o caso da maioria dos computadores dos usuários comuns. Se o usuário não manifestar EXPRESSAMENTE sua vedação ao acesso por parte de terceiros (como isso seria feito, não me perguntem…), o crime não existirá.

3. A pena prevista para o acesso não autorizado é de 1 a 3 ANOS de prisão, completamente desproporcional aos demais artigos do Código Penal. Compare-a, por exemplo com a pena da violação de domicílio que é de 1 a 3 MESES. O legislador pune com muito maior rigor a violação de um computador que a violação de um domicílio. Desnecessários maiores comentários.

4. Os arts.285-A, 154-A, 163-A, 339-A trazem um parágrafo único que estabelece um aumento de sexta parte da pena, caso o usuário use nome falso para a prática do crime, o que, por óbvio, inviabilizaria a aplicação da pena mínima já que certamente ninguém será suficientemente tolo a ponto de usar seu nome verdadeiro para a prática de crime.

5. O art.16 define como “dispositivo de comunicação” qualquer meio capaz de processar, armazenar, capturar ou transmitir dados utilizando-se de tecnologias magnéticas, óticas ou qualquer outra tecnologia. São, portanto, dispositivos de comunicação, para o legislador: disco rígido, CD, DVD, pen-drive, etc.  Terrível!

6. O art.21 exige que o o provedor de acesso armazene por 3 anos os dados de endereçamento de origem, hora e data da conexão efetuada, o que, na prática, equivale a inviabilizar completamente a existência de redes wifi abertas, dificultando a inclusão digital e violando a privacidade dos usuários que terão seus dados de conexão à Internet rastreados pelos provedores de acesso, em nítida violação ao art.5º, X, da Constituição da República. Além disso, a medida é ineficaz, pois criminosos experientes poderiam usar técnicas para camuflar seus rastros.

7. A convenção de Budapeste foi criada e pensada na Europa para tutelar os interesses de países ricos que possuem imensa quantidade de produção intelectual protegida pelos direitos autorais. Não há qualquer razão plausível para o Brasil aderir a esta convenção que, por óbvio, não foi encampada por China, Rúsisa, Índia, Argentina e outros países em desenvolvimento.

8. O principal argumento do senador para sustentar a necessidade de aprovação do projeto de lei é o aumento das fraudes bancárias na Internet, o que gera um alto custo para os bancos. Não será vigiando os usuários, porém, que se evitará as fraudes, pois os sistemas de segurança dos bancos são bastante rudimentares e inseguros. Se o problema são as fraudes bancárias, sugeri ao senador que ele propusesse uma lei CIVIL obrigando os bancos a adotarem a assinatura digital como tecnologia de segurança para o acesso a transações bancárias, o que inviabilizaria praticamente 100% das fraudes bancárias de que temos notícia hoje em dia, sem necessidade de qualquer lei penal. Os bancos atualmente não adotam a assinatura digital, pois é mais barato para eles arcarem com os eventuais prejuízos de fraudes de seus clientes do que com os custos da assinatura digital para todos os usuários (claro que, nesta análise econômica, eles desconsideram os transtornos causados aos clientes).

9. Outro argumento do senador em defesa de seu projeto é a “pedofilia na Internet”. Argumentei, no entanto, que o problema da pedofilia não é virtual, mas real e qualquer política séria (e não midiática) de combate a ela deve ser efetivada onde os estupros destas crianças estão ocorrendo. Não se leiloam virgindades de crianças às escondidas, pois evidentemente é necessário o mínimo de publicidade para que os eventuais interessados possam comparecer ao local para dar seus lances. Aliás, basta andar à noite nas ruas das grandes cidades brasileiras, especialmente nas turísticas, para perceber que o combate à pedofilia deve começar nas ruas e não na Internet, pois são lá que as fotos são tiradas. Pedofilia não é um crime informático; é um crime sexual praticado fora da Internet e é lá que ele deve ser combatido.

10 Em síntese, a lei é ineficaz, pois enquanto não for adotada a assinatura digital as fraudes bancárias continuarão acontecendo e enquanto a polícia não for à rua para combater a pedofilia, os estupros de crianças continuarão ocorrendo.  Por outro lado, a lei dificulta a inclusão digital, pois inviabiliza as redes wi-fi abertas e invade a privacidade dos usuários da Internet ao obrigar o armazenamento de seus logs por 3 anos, o que poderia facilmente ser camuflado por um criminoso informático experiente

Anúncios

Hackers invadem site do Pentágono e roubam projeto de avião de US$ 300 bi

 

aviao

 

Um grupo de hackers invadiu os sistemas de computação do Departamento de Defesa dos Estados Unidos e copiou informações sobre a construção do caça F-35 Lightning II, o mais caro projeto já conduzido pelo Pentágono.

 

De acordo com o “Wall Street Journal”, os piratas copiaram informações que, em teoria, poderiam ensinar militares de outros países a se defender do avião, também conhecido como Joint Strike Fighter, cujo projeto está orçado em US$ 300 milhões (cerca de R$ 672 bilhões, pela cotação do dólar comercial do dia 20 de abril). 

Ex-oficiais do governo americano ouvidos pelo “Wall Street Journal” afirmam que os ataques aparentemente foram feitos a partir da China, embora não seja possível afirmar com precisão a identidade dos hackers. Também não é possível estimar, por enquanto, os danos ao projeto e o provável risco de segurança criado pelo roubo de informações. 

Segundo o jornal americano, os invasores conseguiram baixar um grande volume de dados sobre o avião, mas as informações mais críticas não foram atingidas. Partes mais importantes do projeto são armazenadas em computadores que não estão ligados em rede. 

O F-35 Lightning II, construído por um consórcio liderado pela Lockheed Martin, é dotado de um software composto por mais de 7,5 milhões de linhas de código-fonte. O programa é três vezes mais complexo do que o utilizado em outros aviões de combate modernos. 

 

Rede elétrica

No dia 8, o “Wall Street Journal” já havia revelado que espiões entraram na rede elétrica dos Estados Unidos e deixaram nela alguns softwares que poderiam ser usados para prejudicar o sistema. 

Os hackers vieram da China, Rússia e outros países. Acredita-se que sua missão fosse investigar o sistema elétrico dos EUA e seus controles, informou o jornal, citando antigos e atuais dirigentes dos serviços de segurança norte-americanos. 

Os intrusos não tentaram danificar a rede elétrica ou outros elementos cruciais de infraestrutura, mas os funcionários disseram que poderiam fazê-lo durante uma crise ou guerra. “Os chineses tentaram mapear a nossa infraestrutura, como a rede elétrica. Os russos também”, disse um funcionário dos serviços de inteligência ao jornal

O falso Positivo dos antivirus

virus

Extraido do blog
http://infoaux-security.blogspot.com/

O Falso Positivo nos antivírus funciona da mesma forma que nos seres humanos. Imagine, que você faz um exame, e este exame acusa que você tem determinada doença (bata na madeira agora :)). Porém, após uma série de outros exames, chega-se a conclusão de que o primeiro exame estava errado e que você não possui a tal doença.

Voltando aos antivírus, é como você fazer um rastreamento em seu equipamento e o seu antivírus enviar arquivos que não possuem nenhuma espécie de malware para a sua pasta de quarentena, ou apenas solicitar que você tente desinfectar um arquivo que na verdade não possui infecção nenhuma.

Isso pode ocorrer e não é uma situação tão incomum nos dias atuais, visto que, surgem diversos novos malwares todo dia na rede, o que pode ocasionar, que o antivírus acabe em alguns casos, superestimando a forma com que analisa esses malwares, tratando arquivos que estão “sadios” como infectados.

Esse tipo de análise que trata um arquivo sadio como infectado é o falso positivo nos antivírus. É importante, principalmente quando o arquivo for gerado pelo próprio usuário ou tratar-se de um arquivo do sistema operacional, que façamos um rastreamento no equipamento e não saiamos simplesmente deletando este(s) arquivo(s). Tentar verificar no site da empresa fabricante do antivírus se existe alguma novidade em relação ao tipo de arquivo que foi detectado como infectado ou verificar se já existe uma vacina disponível é o mais aconselhável, antes de uma deleção precipitada.

Obviamente que possuir um antivírus que mostre alguns falsos positivos, é muito melhor do que não possuir nenhum, porém, falsos positivos, são, ao contrário, pontos negativos quando da avaliação dos antivírus. Quanto mais falsos positivos um antivírus encontra, mais pontos ele perde em sua avaliação (pelo menos é o que ocorre nas avaliações dos maiores especialistas neste tipo de produto).

Abaixo, cito parte de um post escrito por um membro do site winajuda.ig.com.br, chamado Alexandre, o Chato sobre como reportar falsos positivos para as empresas de antivírus. Este post é bastante interessante e muito útil.

As empresas de antivírus disponibilizam um meio de acesso, para que seus usuários possam reportar falsos positivos, para que nas próximas atualizações estes erros sejam corrigidos.

Antes de Enviar a mensagem reportando o falso positivo, devemos verificar o seguinte:

– Ter certeza de que esta utilizando a última atualização do antivírus, pois assim evitamos o envio de falsos positivos que já foram corrigidos.
– Fazer uma análise em sites que contém bancos de dados da maioria dos antivírus, para ter certeza de que não está realmente infectado. Entre os sites, destacam-se: (http://www.virustotal.com/, http://virusscan.jotti.org/).
– Compacte o arquivo em ZIP ou RAR e coloque senha. (“Infected” é a senha solicitada pela maioria dos emails citados abaixo), para evitar que gateways de emails ou sites detectem qualquer malware.

Seguem abaixo, os antivírus e como reportar os falsos positivos:

Avira AntiVir
Através deste link (http://analysis.avira.com/samples/index.php), é possível reportar uma URL infectada erroneamente ou enviar um arquivo do seu computador de no máximo 8 Mb(Megabytes). É de extrema importância selecionar no campo File Type, a opção Suspected False Positive. Após a seleção, uma nova caixa de texto se abre, e ali deve-se colocar o link de onde o arquivo original pode ser baixado, se possível (links de instaladores que contenham o arquivo, também são válidos, mas dê preferência por links oficiais. Ex.: Programa com .dll detectada erroneamente > envie o link do instalador).

Kaspersky Internet Security / Kaspersky Antivírus
Há dois métodos para enviar Falsos Positivos aos laboratórios do Kaspersky. O primeiro pode ser feito através da janela de Quarentena do KAV / KIS.

O segundo método é o envio de email. Envie uma mensagem para newvirus@kaspersky.com com o Assunto “Possível Falso Positivo”. Anexe o arquivo em ZIP ou RAR. Você pode colocar algumas informações adicionais, como nome do malware detectado, o porquê de ser um falso positivo e, se houver, senha do arquivo compactado.

ESET Smart Security / NOD32 Antivírus
Envie um email para samples@eset.com, contendo o assunto “Possible False Positive” e o anexo em ZIP ou RAR. Na mensagem do email, coloque o porquê de achar que a detecção é um falso positivo. Se o arquivo do falso positivo for um programa, também coloque o nome do desenvolvedor, o nome do programa e sua versão e um site onde pode ser baixado (pode ser o link do instalador). E o email, deve ser, preferencialmente escrito em inglês, para agilizar o processo e evitar erros no entendimento da mensagem.

Norton Antivírus / Internet Security
Esta página https://submit.symantec.com/false_positive/index.html, permite que sejam reportados falsos positivos em programas, mas sem a necessidade de envio do arquivo infectado.

É importante informar se foi detectado Malware ou Security Risk no campo Is Your submission related to a malware or security risk false positive?. Também é importante informar no campo I am the vendor of the potentially mis-identified software, se você não for o desenvolvedor do programa. Por último, não se esqueça de informar o nome da detecção dada pelo Norton no campo Name of detection given by Symantec.

AVG Antivírus / Internet Security
Através do email virus@avg.com, envie o arquivo com o falso positivo no formato ZIP ou RAR com o assunto “False Positive”. Descreva brevemente o problema, e se, houver, a senha do arquivo zipado. Dê preferência ao inglês para redigir a sua mensagem.

avast! Antivírus
Envie o arquivo do falso positivo em ZIP ou RAR para virus@avast.com, com o assunto “False Positive”. Não há necessidade de uma descrição do problema, mas você deve colocar a senha do arquivo enviado na mensagem.

O Alexandre deu preferência aos antivírus mais utilizados na internet.

Espero que o artigo tenha contribuído para um melhor entendimento quanto ao funcionamento dos falsos positivos nos antivírus.

Ratifico que o envio dos falsos positivos para os fabricantes de antivírus citados pelo Alexandre, devem seguir as regras ali descritas.