Skip to content

PLS 76 e a Defesa Digital

19 de novembro de 2007

 

"Leis são como salsichas, melhor não saber como são feitas"

A recente discussão sobre o PLS 76 do senador Eduardo Azeredo me levaram a identificar o real sentido desta frase, neste caso ela não pela forma como o texto é feito, mas pela forma como diversos setores da sociedade agem para desfazê-la.

Tendo acompanhado este projeto de Lei já há 2 anos e visto inúmeras barbaridades na forma como as informações tem sido manipuladas para que o mesmo se torne "impopular" e como o mesmo tem sido tratado por alguns grupos, que reproduzem em coro algo que não entendem, sem a preocupação em avaliar verdadeiramente o projeto.

O Projeto apresentado pelo senador Eduardo Azeredo modifica o Código Penal, Código Penal Militar, Código do Processo Penal e Código do Consumidor, visando tipificar condutas mediante uso de sistema eletrônico, o que hoje não existe em nossa lei. O PLS 76 estabelece penas para:

– Acesso indevido a sistemas;

– Roubo de dados;

– Quebra de confidencialidade (um dos pilares da segurança);

– Criação ou propagação de código malicioso;

– Falsificação de cartão de crédito, débito ou similar;

– Clonagem de telefones celulares ou meio de acesso a redes de computadores.

Além disso o projeto ainda cria um mecanismo de proteção ao consumidor, obrigando que o mesmo seja informado sobre a necessidade do uso de senhas ou similares, visando protegê-los de diversas ações maliciosas.

O Brasil necessita de uma lei que o possibilite tornar-se signatário da convenção sobre o Cibercrime, também chamada de Convenção de Budapest, celebrada em novembro de 2001, e este projeto tem sido considerado por muitos um dos mais avançados do mundo em termos de combate ao Cibercrime, mas toda vez que o mesmo é entregue à CCJ (Comissao de Constituição, Justiça e Cidadania) algum ítem é questionado e o projeto aparece como um vilão para a sociedade. Foi assim quando acusaram o projeto de tentar controlar a Internet e novamente quando o acusaram de dar "superpoderes" aos analistas de segurança da informação, duas insanidades que se não tivessem circulado pela mídia como um "hoax" circula pela Internet seriam somente uma piada ou prova de incapacidade de interpretação de quem os criou. Vejamos o foco dos dois ataques:

1) "A obrigatoriedade de se indentificar o usuário é uma invasão de privacidade e um atentado a um direito humano fundamental."

Não existe isso, o projeto só pede que o provedor possa identificar qual de seus usuários conectou-se em determinado momento, e qual IP lhe foi dado para navegar na Internet. Nenhum registro do uso da internet pelo usuário será criado. Na realidade o projeto só regulamenta uma prática comum entre os maiores provedores de banda larga. Por outro lado, sem esta identificação vários criminosos podem se esconder em continuar a cometer crimes não só de roubo, mas de calúnia, difamação, racismo, pedofilia, e até mesmo marcar encontros que culminam em agressões físicas ou assassinatos.

2) "A Retenção de logs por 3 anos aumenta o custo de operação e prejudica a inclusão digital"

Complementando o ítem anterior, é necessário que se identifique autores de crimes. Não se pode desprezar a segurança em função de custos, é irresponsabilidade sugerir algo em contrário a isso.

3) "A Defesa digital vai dar superpoderes aos analistas de rede"

Após debatermos sobre o PLS 76 e mais específicamente sobre a defesa digital em uma reunião da ISSA (International Systems Security Association) , os presentes chegaram à conclusão unânime que o artigo é fundamental para o exercício de nossa profissão amparados pela lei. Mas uma vez que este artigo recebeu muitas críticas de outros setores da sociedade,  propusemos a seguinte alteração na definição de Defesa Digital:

O Conceito de Defesa Digital: A definição está adequada, retirando o “resposta a ataque”, substituindo o “proveito próprio ou de seu proponente” por “defesa própria, de seu proponente ou da sociedade” e substituindo “interceptação defensiva” por “monitoração defensiva”.

Note: O termo “da sociedade” protege as pessoas que estudam e apontam vulnerabilidades para os fabricantes ou o fazem em feiras sobre segurança da informação visando alertar os proprietários dos sistema sobre a existência da mesma.

Após a alteração, a nova definição ficaria assim:

IV – defesa digital: manipulação de código malicioso por agente técnico ou profissional habilitado, em defesa própria, de seu preponente ou da sociedade, e sem risco para terceiros, de forma tecnicamente documentada e com preservação da cadeia de custódia no curso dos procedimentos correlatos, a título de teste de vulnerabilidade, de frustração de invasão ou burla, de proteção do sistema, de monitoração defensiva, de tentativa de identificação do agressor, de exercício de forense computacional e de práticas gerais de segurança da informação.

Infelizmente o coro de fantoches de alguns setores da sociedade mais uma vez fez com que a defesa digital, considerada por muitos um dos artigos mais avançados no mundo neste sentido fosse retirado do projeto.

O que mais me incomoda é que fica claro que todos os ataques gerados ao projeto miravam um ponto polêmico para impedir que o todo, sendo que na minha opinião o que incomoda é alguns setores da sociedade é o custo gerado pela segurança proporcionada pelo projeto. Custos em manter registros de conexão (extremamente indicado por qualquer profissional de segurança), avisar aos usuários sobre os riscos em não configurar seus equipamentos, etc.

Como sempre: Segurança é bom, desde que não tenha custo.

Anúncios
One Comment
  1. Unknown permalink

    Gostaria de apresentar abaixo uma fração do meu trabalho "DELITO E RESPOSTA", a respeito do assunto abordado.DEFESA DIGITALUma das mais veementes críticas ao PLS 076 foi endereçada à criação de uma espécie peculiar de “excludente de antijuridicidade”: a chamada “defesa digital”.A proposta original excluía a ilicitude da ação do agente técnico – como é o caso dos membros dos Csirts, Grupos de Resposta a Incidentes, Grupos de Resposta a Ataques – ou do profissional que, para tanto habilitado, manipula código malicioso detectado, em proveito próprio ou da sua corporação, sempre sem risco para terceiros, de forma documentada, com preservação da cadeia de custódia e sem desvio de finalidade, observados os seguintes fins: resposta a ataques, frustração de invasão ou burla, em nome da proteção de um sistema ou promovendo uma interceptação defensiva.As críticas ao dispositivo foram bem-sucedidas, em seu objetivo de eliminar a disposição legal proposta, e apontaram para um suposto “empoderamento exagerado” desses profissionais, com um certo incentivo à “violência digital”, à prepotência e com oferecimento de risco para a segurança de terceiros (que não o atacante ou a vítima), como se vê do excerto abaixo: "O conceito de defesa digital permitia que "agentes técnicos ou profissionais habilitados" usassem ferramentas e técnicas maliciosas para contra-atacar ataques formulados por crackers em redes privadas, o que daria margem para a ação de "justiceiros" virtuais sem qualquer tipo de regulamentação." (http://idgnow.uol.com.br/internet/2007/05/30/idgnoticia.2007-05-30.8128470176/, acessado em 13 de abril de 2008. 21h.)Essa crítica é absolutamente improcedente e não podemos nos furtar de registrar, aqui, nosso entendimento a respeito.Para demonstrá-lo, vamos examinar o que é o conceito de “excludente de ilicitude”. O Código Penal prevê alguns exemplares desse modelo, sem qualquer restrição. Vejamos os principais dispositivos clássicos da Lei a esse respeito:"Exclusão de ilicitude Art. 23 – Não há crime quando o agente pratica o fato: I – em estado de necessidade; II – em legítima defesa; III – em estrito cumprimento de dever legal ou no exercício regular de direito. Excesso punível Parágrafo único – O agente, em qualquer das hipóteses deste artigo, responderá pelo excesso doloso ou culposo. Estado de necessidadeArt. 24 – Considera-se em estado de necessidade quem pratica o fato para salvar de perigo atual, que não provocou por sua vontade, nem podia de outro modo evitar, direito próprio ou alheio, cujo sacrifício, nas circunstâncias, não era razoável exigir-se. § 1º – Não pode alegar estado de necessidade quem tinha o dever legal de enfrentar o perigo. § 2º – Embora seja razoável exigir-se o sacrifício do direito ameaçado, a pena poderá ser reduzida de um a dois terços. Legítima defesaArt. 25 – Entende-se em legítima defesa quem, usando moderadamente dos meios necessários, repele injusta agressão, atual ou iminente, a direito seu ou de outrem"Como se pode ver, o dispositivo original, ao tempo em que homenageava com moderação e razoabilidade o trabalho dos grupos de resposta a ataques, representava não um “incentivo ao Justiceiro”, mas ao contrário, trazia consigo inúmeros pré-requisitos de exercício da “legítima defesa” que o código penal não impõe. A regra ordinária condiciona o instituto à simples proporcionalidade e moderação. Ora, o dispositivo originalmente proposto condicionava a atuação do defendente à inexistência de risco para terceiros, à necessária documentação de sua atuação, à preservação da cadeia de custódia dos elementos que fundamentam sua atuação, com preservação da finalidade (profissional) de sua conduta e, tudo isso, condicionado à existência daquelas circunstâncias já descritas (resposta a ataque, frustração de conduta invasiva, em caráter protetivo ou interceptador de uma ofensa).Todas essas condições que imporiam, de sua parte, um detalhado regramento de conduta e a formulação de todo um aparato deontológico no âmbito dos Csirts de modo condizente com o novo regramento penal proposto, foram, a partir da retirada do dispositivo, eliminados e, hoje, um grupo de resposta a ataques, a despeito do poderio e impacto das ferramentas e técnicas que manipula, pode atuar de forma bem mais livre, seja a título de legítima defesa, seja a título de estrito cumprimento do dever legal.Podemos, assim, ensaiar uma hipótese do gênero: a vítima, sendo atacada com uma faca, pode se utilizar, por exemplo, de uma cadeira, de uma barra de ferro ou de outra faca, para repelir o ataque. É uma hipótese razoável. Se houver moderação, haverá legítima defesa. Um vigia noturno pode usar seu cacetete para repelir uma invasão e estará atuando no estrito cumprimento do dever legal.O membro de um GRA, repelindo um ataque de injeção de código malicioso, pode atuar rastreando a estação de trabalho do agressor e injetando outro (ou o mesmo) código malicioso? Que repercussão isso trará para o direito de terceiros? Como medir a proporcionalidade de um contra-ataque dessa natureza?Entendemos que os requisitos formulados na proposta original de defesa digital ponderaria, em muito, o uso da excludente de ilicitude, no tocante a ataques digitais dessa natureza, equilibrando o poderio que as ferramentas de TI garantem a esses profissionais.A preocupação dos detratores da defesa digital, portanto, por ignorância a respeito do instituto, acabou implicando justamente o efeito oposto ao pretendido: um GRA qualquer está mais poderoso do que o que seria necessário para sua atuação profissional.Ulysses MachadoOAB/DF 5.853

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: