Tag Archives: cyberguerra

Campus Party: “Interagindo com a Justiça no combate aos crimes cibernéticos”

Campus Party

Participação no programa “Online” da Rede Brasil de Televisão

Ontem, tive a oportunidade participar do programa “Online”, que vai ao ar toda quarta feira a partir das 22:00 horas, na Rede Brasil de Televisão, acompanhado pelo notável consultor e professor  em segurança da Informação Jeferson D’Addario, onde pude tecer algumas considerações sobre o episódio de espionagem realizado pela N.S.A. do governo norte americano. Aproveito a oportunidade para a parabenizar toda a produção do programa pelo excelente nível da atração e cumprimentar a apresentadora Claudia Carla pelo maravilhoso trabalho realizado.

Claudia Carla

 

Lei 12.683, de 9.7.2012: reforço ao poder de requisitar dados cadastrais pela Autoridade Policial.

Acesso a Dados CadastraisRecentemente foi editada a Lei 12.683, de 9.7.2012, a qual alterou diversos dispositivos da Lei 9.613/98, com o propósito de adequá-la à nova realidade da moderna criminalidade e possibilitar meios adequados e rápidos de alcançar os infratores.
Dentre as mais importantes inovações trazidas pela alteração legislativa esta o artigo 17-b, dispositivo de natureza processual penal da maior relevância prática.
Por ele a Autoridade Policial e o agente do Ministério Público podem dirigir-se diretamente a instituições (p. ex. companhia telefônica), requisitando dados cadastrais do investigado (p. ex., endereço).
Outrora, estes órgãos quando perquiridos exigiam uma ordem judicial, o que acabava levando a investigação a uma verdadeira teia burocrática que em muito contribuía para o insucesso.
Mas o que são dados cadastrais para os fins estabelecidos pela alteração legislativa?
Dados cadastrais são as informações objetivas fornecidas por clientes e armazenadas em banco de dados de pessoas jurídicas de direito privado, os quais, normalmente são o nome completo, C.P.F., R.G., domicílio e número de telefone.
Este tipo de informação não revela quaisquer aspectos da vida privada ou da intimidade do indivíduo, até porque é esperado que todos possuam tais elementos identificadores, os quais por se tratarem de dados objetivos, não permitem qualquer juízo de valor sobre uma pessoa.
O S.T.F. já se posicionou sobre o assunto, no sentido de que a proteção constitucional a inviolabilidade das comunicações se refere à comunicação de dados e não aos dados em si, conforme extensa ementa abaixo parcialmente transcrita, além do fato de que conceito de “dados” contido no preceito constitucional é diverso do conceito de dados cadastrais:

EMENTA: (…) IV – Proteção constitucional ao sigilo das comunicações de dados – art. 5º, XVII, da CF: ausência de violação, no caso. 1. Impertinência à hipótese da invocação da AP 307 (Pleno, 13.12.94, Galvão, DJU 13.10.95), em que a tese da inviolabilidade absoluta de dados de computador não pode ser tomada como consagrada pelo Colegiado, dada a interferência, naquele caso, de outra razão suficiente para a exclusão da prova questionada – o ter sido o microcomputador apreendido sem ordem judicial e a conseqüente ofensa da garantia da inviolabilidade do domicílio da empresa – este segundo fundamento bastante, sim, aceito por votação unânime, à luz do art. 5º, XI, da Lei Fundamental. 2. Na espécie, ao contrário, não se questiona que a apreensão dos computadores da empresa do recorrente se fez regularmente, na conformidade e em cumprimento de mandado judicial. 3. Não há violação do art. 5º. XII, da Constituição que, conforme se acentuou na sentença, não se aplica ao caso, pois não houve “quebra de sigilo das comunicações de dados (interceptação das comunicações), mas sim apreensão de base física na qual se encontravam os dados, mediante prévia e fundamentada decisão judicial”. 4. A proteção a que se refere o art. 5º, XII, da Constituição, é da comunicação ”de dados” e não dos ”dados em si mesmos”, ainda quando armazenados em computador. (cf. voto no MS 21.729, Pleno, 5.10.95, red. Néri da Silveira – RTJ 179/225, 270). V – Prescrição pela pena concretizada: declaração, de ofício, da prescrição da pretensão punitiva do fato quanto ao delito de frustração de direito assegurado por lei trabalhista (C. Penal, arts. 203; 107, IV; 109, VI; 110, § 2º e 114, II; e Súmula 497 do Supremo Tribunal).

Cumpre ainda destacarmos que informações cadastrais de correntistas de instituições financeiras não estão sujeitas ao chamado “sigilo bancário”, pois não sendo os dados cadastrais bancários protegidos pelo sigilo bancário não há em nosso ordenamento jurídico qualquer previsão no sentido da necessidade de ordem judicial para o acesso a este tipo de dados cadastrais, o que implica na aplicabilidade do poder geral de polícia (art. 6, III do CPP) no que diga respeito à requisição destes.
Desta forma, tendo a Autoridade Policial conhecimento que determinada conta bancária é utilizada para fins ilícitos pode requisitar ao banco os dados cadastrais do titular da mesma.
Por outro lado, a alteração legislativa em comento veio para deixar assentado que a Autoridade Policial pode requisitar “dados cadastrais telefônicos”, informações mínimas sobre o proprietário da linha telefônica, com a finalidade de especificar qual é o consumidor do serviço e cujo acesso não depende de nenhum tipo de autorização judicial.
Com o advento da alteração legislativa, certo é que o descumprimento de requisição de dados cadastrais solicitados por Autoridade Policial amolda-se perfeitamente ao delito de desobediência, constante no artigo 330 do Código Penal, por se tratar de ordem legal advinda de funcionário público uma vez que tal prerrogativa requisitória encontra-se amparada pela norma constante no artigo 6º, III do CPP.
E mais: a Lei 8.078/90, em seu artigo 43, §4º, estabelece que os bancos de dados e cadastros relativos a consumidores são considerados entidades de caráter público, o que reforça ainda mais a possibilidade de requisição de dados cadastrais pela Autoridade Policial através do poder geral de polícia, inclusive anteriormente a edição da Lei 12.683, de 9.7.2012, a qual veio apenas consagrar este tipo de posicionamento.
Esperemos apenas que as concessionárias de serviço público ou empresas detentoras de dados cadastrais de interesse de investigações não criem óbices ao cumprimento do disposto na legislação mencionada.

Palestra na OAB/S.P.: “Os novos Desafios do Direito Eletrônico”

Os novos Desafios do Direito Eletrônico

Fraqueza no sistema de roteamento da Internet pode causar interrupções nos principais serviços e permitir que hackers possam espionar comunicações.

Internet routingEngenheiros de TI estão estudando a maneira mais fácil de consertar uma fraqueza existente há muito tempo no sistema de roteamento da Internet que tem o potencial de poder causar interrupções nos principais serviços e permitir que hackers possam espionar dados.
O problema envolve os roteadores usados por organizações e empresas que tenham um bloco de endereços IP.
Esses roteadores se comunicam constantemente com outros roteadores (ocorrendo às vezes mais de 400.000 entradas), atualizando suas informações internas sobre a melhor maneira de chegar a outras redes que usam um protocolo chamado “Border Gateway Protocol” (BGP).
“BGP” permite que roteadores encontrem o melhor caminho quando, por exemplo, uma rede usada para recuperar uma página web a partir de Coreia do Sul não está funcionando corretamente.
Alterações deste tipo implicam no fato de que as informações de roteamento sejam distribuídas rapidamente aos roteadores ao redor do mundo em apenas cinco minutos.
Mas os roteadores não verificam se a rota dos “anúncios”, como são chamados, estão corretas.
Erros na entrada da informação, ou, pior ainda, um ataque malicioso, podem causar a indisponibilidade de uma rede.
Esta situação também pode causar, por exemplo, que o tráfego de uma empresa de Internet seja encaminhado através de outra rede tortuosa que não precisasse passar, abrindo a possibilidade do tráfego vir a ser interceptado.
Este ataque é conhecido como “rota de sequestro”, e não pode ser interrompido por qualquer produto de segurança.
Quando problemas de roteamento surgem é muito difícil dizer se este é decorrente da obtenção de resultados impróprios porque “dedos gordos” manipularam inadequadamente um roteador ou se ele é decorrente de uma ação má intencionada, segundo afirmou Joe Gersch, diretor de operações da “Secure64”, uma empresa que faz software para servidores de “Domain Name System” (DNS), afirmando ainda que isto poderia ser um ensaio para a guerra cibernética.
Gersch também afirmou sobre dados mostrarem que cerca de um terço do mundo não pode chegar a partes da Internet ao mesmo tempo devido a problemas de roteamento.
Em fevereiro, um erro fez com que o roteamento do tráfego internacional para a operadora australiana “Telstra” fluísse através da rede da sua concorrente, “Dodo”, uma vez que a mesma não podia lidar com o aumento do mesmo.
Em um incidente bem conhecido, a “Pakistan Telecom” cometeu um erro com “BGP” após o governo do Paquistão ordenar em 2008 que os “ISP’s” bloqueassem o “YouTube”, o que acabou fazendo com que os serviços do “Google” ficasse “off line”.
Em março de 2011, um pesquisador observou que o tráfego destinado ao “Facebook” na rede da “AT&T” estranhamente passou por um tempo pela China.
Normalmente os pedidos iam diretamente para o provedor de rede do “Facebook”, muito embora pela primeira o tráfego viesse primeiramente pela “China Telecom” e, em seguida, para a “SK Broadband” na Coréia do Sul antes do roteamento para o “Facebook”.
Embora o incidente tenha sido caracterizado como um erro, ele somente ocorreu para que o tráfego não criptografado do “Facebook” pudesse ser espionado.
Segundo Dan Massey, professor associado de ciência do computador na “Colorado State University”, o problema maior é que grande parte da infraestrutura crítica simplesmente confia que os jogadores irão se comportar corretamente, ressaltando que num sistema verdadeiramente global como a internet, se deve assumir que as organizações ocasionalmente cometem erros involuntários.
Ainda segundo Dan Massey, é necessário imaginar o que um determinado adversário pode ser capaz de fazer, inclusive ataques a infraestrutura crítica, tais como centrais elétricas, as quais se tornaram cada vez mais dependentes da Internet.
A solução é ter roteadores que verifiquem se os blocos de endereços IP anunciados pelos roteadores de outros, na verdade pertencem a suas redes.
Um dos métodos propostos, “Resource Public Key Infrastructure” (RPKI), usa um sistema de certificados criptografados que verificam se um bloco de endereços IP na verdade pertence a uma determinada rede.
“RPKI” é complexo, e sua implantação tem sido lenta.
Recentemente alguns especialistas apresentaram um método alternativo, apelidado de “Rover” para verificação da origem das rotas, o qual poderia ser mais fácil.
O método “Rover” tem sido amplamente adotado e armazenaria as informações legítimas de rota dentro do “DNS”, sendo que as mesmas podem ser assinadas com “DNSSEC”, o protocolo de segurança que permite que os registros de “DNS” possam ser assinados criptograficamente.
Outra grande vantagem do método com Rover é que nenhuma mudança precisa ser feita nos roteadores existentes, além de poder trabalhar ao lado do “RPKI”.
Joe Gersch, que foi o autor de duas especificações de como nomear uma rota e sobre o tipo de registro que pode ser inserido no “DNS”, afirmou que toda a infraestrutura necessária para assegurar a resposta se uma rota é legítima ou não já existe.
Por fim, o especialista informou que as especificações estão atualmente num estado denominado “internet daft”, situação anterior à criação de uma “Internet Engineering Task Force”, sendo necessário que as mesmas sejam devidamente documentadas por um grupo de trabalho para que possam tornar-se padrão.

Fonte: Jeremy Kirk do IDG News Service