Monthly Archives: novembro 2009

Evento na FIESP: Dia Internacional de Segurança em Informática

FIESP

FIESP

A Internet é segura? A legislação brasileira é eficiente?
Respostas a perguntas como estas serão dadas no Dia Internacional de Segurança em Informática, que a Fiesp promove nesta segunda-feira (30).
Os constantes aperfeiçoamentos da Internet colocam em discussão a segurança da rede mundial de computadores. Para lembrar os usuários sobre a importância de manter um nível de proteção mínimo, o Departamento da Indústria de Segurança (Deseg) da Fiesp realiza nesta segunda-feira (30), às 14h, o Dia Internacional da Segurança em Informática.
“Vamos tratar da Internet e os paradoxos do controle da segurança”, afirmou o diretor-titular do Deseg, Ricardo Lerner. Segundo ele, o encontro vai discutir até que ponto é possível controlar o acesso ao conteúdo da rede, e o que o governo e as empresas estão fazendo para tornar a web mais segura. “Como fomentar o comércio eletrônico e a segurança do comprador?”, questiona.
Para debater estas questões, a Fiesp reunirá representantes de grandes empresas do setor, como a Microsoft e a Symantec. Além disso, o delegado da Unidade de Inteligência do DEIC de São Paulo, José Mariano de Araújo Filho, vai mostrar como a Polícia Civil tem atuado frente aos entraves da legislação. O Exército Brasileiro, o escritório de advogados Opice Blum e Câmara E-net também participam do evento.

Palestra na Fiesp

(Fonte: Lucas Alves, Agência Indusnet Fiesp)

Pirataria está cada vez mais sofisticada no Brasil

 

A pirataria já é o crime mais lucrativo do mundo. Movimenta mais de US$ 500 bilhões por ano. Com tanto dinheiro em jogo, não é difícil entender porque os piratas estão cada vez mais sofisticados – e especializados.
Mercadorias como CDs, DVDs e artigos de moda ainda são os campeões de falsificações, mas um novo mercado surge com força. É a pirataria de produtos eletrônicos. Especificamente, de aparelhos que permitem captar e decodificar os mais variados tipos de sinais.
Nesta matéria levada ao ar pelo Jornal das Dez da Globo News, o Delegado José Mariano de Araujo Filho, comenta a respeito das estratégias utilizadas pelo crime organizado para a porliferação da indústria da pirataria.

Revista CBN: Especialista fala sobre os crimes mais comuns na internet.

Revista CBN 28-11-2009Delegado José Mariano Araujo Filho

Neste sábado, dia 28 de novembro p.p., a rádio CBN levou ao ar uma entrevista com o Delegado José Mariano de Araujo Filho, que conversou com a repórter Tania Morales, âncora do programa “Revista CBN” sobre os crimes mais comumente praticados na internet e sobre o momento atual neste tipo de criminalidade. Você pode conferir abaixo a integra da entrevista concedida:

Cuidado: Os Crimes na Internet

Por Adriana Archanjo (publicado em http://www.jornalsinallivre.com/si/site/jornal_materia?codigo=390 )

O Delegado José Mariano de Araújo, do DEIC, em workshop sobre crimes digitais.
006

O Brasil detém 30% dos internautas do mundo, com transações de 10 bilhões de reais comercializados na rede, sendo que 30 milhões de pessoas usam serviços bancários via internet no País. Google, Orkut, Twitter, Wikipedia e Sonico são algumas das inovações que revolucionaram a rede, mas o crescimento de interações digitais trouxe seus perigos: “O número de crimes na internet ultrapassa os delitos convencionais”. É o que afirma o delegado de polícia, José Mariano de Araújo Filho, do Departamento de Investigação sobre o Crime Organizado (DEIC).
Os golpes mais comuns são a falsa página bancária e supostos sites de comércio eletrônico. Álbuns de fotos de “amigos”, cartões virtuais (aniversário, humor, etc) avisos da Receita Federal, prêmios, e pesquisa para o censo do IBGE também são bastante frequentes. “Hoje, os criminosos estão sentados em frente ao computador, em algum lugar do mundo, para atacar as vítimas em potencial, sem que seja necessário portar armas ou matar alguém,” alerta Arnol Deshmukh, gerente mundial de Marketing da Gemalto (Empresa fornecedora de sistemas de segurança digital). “Quem paga pela fraude? Questiona o especialista. Para, em seguida, responder: “Os consumidores, os provedores de serviços, os bancos; enfim, toda a sociedade.”
“Cerca de 30% dos computadores são infectados por navegadores, o que significa que 60 milhões de usuários estão correndo riscos”, afirma Arnol Deshmukh. E a polícia? “Eles não sabem onde o criminoso está”, revela o especialista.
O delegado, José Mariano de Araújo Filho, concorda: “As empresas de telecomunicações não colaboram com as investigações, fornecendo o endereço IP (Protocolo de Internet, em português).
A informação é lenta e de pouca qualidade. Demora 8 ou 9 meses para se obter apenas o IP, e, devido à volatividade da rede, quando isto ocorre, as empresas já não possuem mais as informações que necessitamos para dar andamento à investigação.
Também não possuem sistemas de segurança adequados para coletar e fornecer os dados, quando necessário”, explica.
Outras dificuldades para se punir quem pratica os crimes, apontadas pelo delegado, são a difícil obtenção de provas do crime, a omissão das empresas vítimas dos fraudadores e a falta de um consenso jurídico: “São necessárias muitas testemunhas. A empresa acaba não denunciando o criminoso, por medo de perder credibilidade perante os clientes. É um processo lento e oneroso, por falta de precisão legal e específica”, justifica-se. As empresas até tentam se proteger, criando dispositivos de segurança mais avançados; no entanto, a ação dos fraudadores também é rápida. “O crime organizado tem patrocinado a formação técnica dos jovens para atuar na criminalidade”, alerta José Mariano de Araújo Filho. Portanto, a melhor maneira de se proteger é aprender a utilizar corretamente a rede.

Como identificar fraudes:

 • Faça uma pesquisa de mercado sobre o preço do produto desejado e compare com os preços oferecidos. Então, você deve se perguntar porque estão oferecendo um produto com preço tão abaixo do praticado pelo mercado…

• Os fraudadores utilizam técnicas para ofuscar o real link para o arquivo malicioso, apresentando o que parece ser um link relacionado à instituição mencionada na mensagem. Ao passar o cursor do mouse sobre o link, será possível ver o real endereço do arquivo malicioso na barra de status do programa leitor de e-mails, ou browser, caso esteja atualizado e não possua vulnerabilidade. Normalmente, este link será diferente do apresentado na mensagem.

 • Qualquer extensão pode ser utilizada nos nomes dos arquivos maliciosos, mas fique particularmente atento aos arquivos com extensões “.exe”, “.zip” e “.ser”, pois estas são as mais utilizadas. Outras extensões frequentemente utilizadas por fraudadores são “.com”, “.rar” e “.dll”.
Saiba mais: www.cert.br

Como os criminosos agem:

Normalmente, não é uma tarefa simples, atacar e fraudar dados de um servidor de uma instituição bancária ou comercial. Então, atacantes têm concentrado seus esforços na exploração de fragilidades dos usuários, para realizar fraudes comerciais e bancárias, através da Internet. O atacante se faz passar por outra pessoa e utiliza meios, como uma ligação telefônica ou e-mail, para persuadir o usuário a forncecer informações ou realizar determinadas ações: executar um programa; acessar uma página falsa de comércio eletrônico ou Internet Banking, através de link em um e-mail ou uma página; e sites de leilões e de vendas de produtos, onde as mercadorias têm preços muito abaixo dos praticados pelo mercado.
Na maioria dos casos, você não receberá nenhum produto, perderá o dinheiro e poderá ter seus dados pessoais e financeiros furtados.
O Phishing, também conhecido como phishing scam, foi um termo originalmente criado para descrever o tipo de fraude que se dá através do envio de mensagem não solicitada, que se passa por comunicação de uma instituição conhecida, como um banco, empresa ou site popular, e que procura induzir o acesso a páginas fraudulentas (falsificadas) projetadas para furtar dados pessoais e financeiros de usuários.
A palavra phishing (de fishing) vem de uma analogia criada pelos fraudadores, onde “iscas” (e-mails) são usadas para “pescar” senhas e dados financeiros de usuários na Internet. Atualmente, este termo vem sendo utilizado também para se referir a mensagens que, no próprio conteúdo, apresenta formulários para o preenchimento e envio de dados pessoais e financeiros de usuários. Ao clicar no link, será apresentada uma janela, solicitando que você salve o arquivo. Depois de salvo, se você abri-lo ou executá-lo, será instalado um programa malicioso (malware – na linguagem técnica) em seu computador, por exemplo, um cavalo de tróia. Caso o seu programa de e-mails esteja configurado para exibir mensagens em HTML, a janela, solicitando que você salve o arquivo, poderá aparecer automaticamente, sem que você clique no link.
Recomendações:

• Fique atento às mensagens que solicitem a instalação/ execução de qualquer tipo de arquivo/ programa.

• No caso de mensagem recebida por e-mail, o remetente nunca deve ser utilizado como parâmetro para atestar a veracidade de uma mensagem, pois pode ser facilmente forjado pelos fraudadores.

 • Se você ainda tiver alguma dúvida e acreditar que a mensagem pode ser verdadeira, entre em contato com a instituição para certificar-se sobre o caso, antes de enviar qualquer dado, principlamente informações sensíveis, como senhas e números de cartão de crédito.

• Não acesse sites de comércio eletrônico ou Internet Banking através de computadores de terceiros.

• Desligue sua Webcam ao acessar um site de comércio eletrônico ou Internet Banking.

 • Altere a configuração do seu browser para restringir a execução de Java Scrip e de programas Java ou Active X, exceto para casos específicos.

• Configure seu browser para bloquear pop-up windows e permiti-las apenas para sites conhecidos e confiáveis, onde forem realmente necessárias.

• Configure seu programa leitor de e-mail para não abrir arquivos ou executar programas automáticos.

Data da Publicação: 04/11/2009

Dados de endereço IP são apenas dados cadastrais.

Duas recentes decisões dos tribunais brasileiros podem significar avanços no combate aos crimes praticados por meios eletrônicos em nosso país.
A primeira decisão é do S.T.J. e tem o seguinte teor:

CRIME CONTRA A HONRA. DADOS. IP.
“A obtenção de dados do usuário de determinado Internet Protocol (IP) consistente tão só na identificação da propriedade e do endereço em que instalado o computador do qual partiu o escrito criminoso não está resguardada pelo sigilo de que cuida o art. 5º, XII, da CF/1988, nem pelo direito à intimidade, que não é absoluto, prescrito no inciso X daquele mesmo artigo. Inexiste, no caso, qualquer aspecto do “modus vivendi” da pessoa, o que não resulta constrangimento ilegal. Assim, a Turma, ao prosseguir o julgamento, denegou a ordem. HC 83.338-DF, Rel. Min. Hamilton Carvalhido, julgado em 29/9/2009.”

Este acórdão implica que provedores de acesso e de conteúdo não poderão se negar a fornecer informações dos usuários de suas redes para os quais tenham sido alocados endereços I.P. sob a alegação de que ocorreria infração à Constituição Federal.
O trabalho do investigador de crimes praticados por meios eletrônicos tem sido extremamente prejudicado pela morosidade na obtenção de informações de usuários de endereços I.P., uma vez que as Autoridades Policiais se vêem obrigadas a se valer de representações judiciais a cada instante em que necessitem obter tais dados, o que em muitas situações acaba por impedir as investigações.
Não raro, após vencer a burocracia imposta pelas representações aos Juízes para obtenção de informações de endereços I.P., o investigador acaba surpreendido pelo fato de que o detentor de tais dados informa não mais os possuir em arquivo.
Os dispositivos constitucionais mencionados na decisão, não autorizam a recusa quanto ao fornecimento dos dados do usuário do IP. Com efeito, tais dados seriam equivalentes àqueles contidos nas listas telefônicas de larga distribuição, ou seja, das quais constam o nome do assinante, endereço e número de telefone.
O IP (Internet Protocol) nada mais é do que o endereço ao qual deve corresponder a um proprietário, e a um usuário dos serviços prestados pelo provedor de acesso ou serviços. O fornecimento de tais dados (nome, endereço e linha telefônica do usuário) não se confunde com os dados protegidos pelo invocado inciso Constitucional (XII), pois aquele se refere aos dados DAS COMUNICAÇÕES em si, ou seja, tempo de conexão entre um e outro IP, dias, horários, etc. estes sim protegidos pelo sigilo.
A prevalecer tal entendimento, as pessoas que forem, de qualquer modo vitimadas, estariam obrigadas a preliminarmente ajuizarem ação civil de caráter meramente investigativo, e após obtenção de tais dados é que poderiam adotar as medidas cabíveis em face dos causadores dos danos. E pelo amplo crescimento do uso da Internet para troca de informações entre pessoas, cada vez mais estas acabam sendo prejudicadas por mensagens e veiculações, daí ser razoável que as mesmas tenham acesso aos necessários dados para identificação dos responsáveis.
Tanto é assim, que a Lei do Estado de São Paulo nº 12.288 de 11/01/2006 obriga estabelecimentos que oferecem uso de Internet mantenham dados específicos acerca dos usuários de seus IP’s, o que vem sendo copiado por diversos outros estados.
Já na outra decisão, a 15º Câmara Cível do Tribunal de Justiça do Estado do Rio Grande do Sul (TJRS) mudou uma sentença já dada e isentou o banco Itaú da responsabilidade por saques feitos indevidamente na conta bancária de um cliente.
Segundo o tribunal, ficou comprovado que a operação fraudulenta aconteceu por meio de um programa que rouba senhas e informações confidenciais do usuário.
A conclusão dos desembargadores é de que o correntista não tomou os cuidados necessários para capaz de evitar as invasões de crackers em sua máquina.
O Código de Defesa do Consumidor, plenamente aplicável as instituições bancárias por decisões de nossos Tribunais, estabelece, em seu artigo XIV, que uma empresa – seja ela de que ramo for – é responsável por reparar “danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos”.
A exceção ocorre quando o fornecedor provar que determinado dano foi causado por “culpa exclusiva do consumidor ou de terceiro”, conforme estabelece o código.
Deve ser mencionado que seria absolutamente inadmissível a responsabilização de uma instituição financeira por desfalques sofridos por seus clientes que deixaram de adotar medidas de segurança mínimas ou que deram causa a obtenção criminosas de seus dados pessoais e de acesso a sua conta corrente.
A persistir este tipo de responsabilidade por parte das instituições financeiras acabaria ocorrendo um incentivo indireto a não adoção de medidas protetivas por parte dos correntistas bancários, os quais não se importariam em minimizar ameaças uma vez que teriam a certeza de que os Bancos reporiam quaisquer desvios de suas contas.
Isto para não aventar a possibilidade de fraudes, uma vez que certamente proliferariam clientes alegando falsos desvios de suas contas correntes, os quais jamais teriam ocorrido.
As decisões ora mencionadas, representam um pequeno avanço no cenário nacional de combate aos crimes praticados por meios eletrônicos, mas certamente ainda existe muito a ser feito, principalmente no que diz respeito a especialização de investigadores e na adoção de técnicas mais modernas de combate a esta modalidade criminosa.