A popular idéia de que a internet é uma terra sem lei está com os dias contados.

A intenção não é nova, já tivemos muita discussão em torno do projeto do senador Eduardo Azeredo, com diversas manifestações contrárias ao que ali proposto por ser contrário aos princípios básicos da Internet e principalmente pela falta de debate e pressa em sua aprovação.

Pesava ainda contra o projeto o fato de ser uma lei penal e não uma regulamentação civil da utilização da internet, com isto invertia-se o conceito de direito de que a tutela penal deve ser a última a ser utilizada.

Desta vez a lei que regulamentará a responsabilidade civil na utilização da internet abordando principalmente temas como proteção de dados do internauta, neutralidade da internet (não discriminação do conteúdo que é transmitido) e os direitos básicos do internauta.

A favor desta nova lei pesam o fato de estar sendo preparada pelo com o auxílio do pessoal do CTS da FGV Rio e uma maior abertura para o debate público sobre os termos da lei, inicialmente será publicado um blog, ainda no final deste mês, em que serão expostos e discutidos os artigos por um período de 90 dias.

Por fim, talvez este seja o ponto final na discussão sobre os logs de acesso, tema que sempre causa muita divergência pois hoje não há uma obrigatoriedade para o armazenamento e sempre que se fala na imposição desta obrigação através de lei, um dos principais pontos discutidos é o tempo pelo qual o log deve ser mantido.

Resta agora aguardar o lançamento do blog pois esta é uma questão que interessa a todos os internautas.

A ANEEL (Agência Nacional de Energia Elétrica) regulamentou ontem (25/08) através de resolução a possibilidade de acesso à Internet por meio da rede elétrica.

De acordo com a notícia divulgada no site da ANEEL, as concessecionárias não poderão explorar diretamente o serviço, tendo de conceder permissão para que empresas de telecomunicação possam utilizar sua estrutura para transmitir dados pela rede elétrica.

Para que seja utilizado a internet pela rede elétrica será necessário adquirir um modem espécial para que haja o correto tratamento dos dados.

Esta nova forma de distribuição de internet banda larga talvez seja o mais importante passo para a real democratização do acesso à internet pois a rede elétrica alcança quase todos os pontos do país, ao contrário da telefonia e empresas de televisão à cabo.

Outro fator importante para alavancar a democratização da internet será o preço cobrado pelo serviço que estima-se será mais baixo que os atuais preços praticados pelas operadores ADSL ou mesmo via cabo.

Foto utilizada de acordo com os termos da licença CC-BY-NC, publicada originalmente no Flickr de autoria de chico.fotos

DoS é um ataque ao servidor que hospeda determinado site, o atacante passa a fazer tantas requisições ao servidor que este não consegue mais atender a solicitação dos outros usuários, ou quando o faz, não ocorre de forma satisfatória, visto que grande parte da capacidade de processamento do servidor está direcionada a atender as solicitações do atacante, por fim há, ao usuário legítimo, uma “negação de serviço” do inglês Denail of service.

esquema de um ataque DDoS

Há uma forma mais específica de DoS que é o DDoS (Distributed Denial of Service) em que o ataque não é realizado por apenas um computador, mas um verdadeira rede de computadores, chamados zumbis, infectados por programas que se comunicam com outros computadores, chamados de mestres, que recebem as ordens do atacante e as repassam para os zumbis. Neste caso há três tipos de vítimas deste suposto crime, os “zumbis”, os “mestres” e o site destino do ataque, desde que os zumbis e os mestres não participem conscientemente do ataque.

A questão que se levanta é se o DoS e o DDos são ou não crimes.

Para responder a essa questão é necessário primeiramente investigar qual a intenção da pessoa que comanda um ataque deste tipo.

Como o nome diz a intenção é que haja uma negação de serviço aos usuários legítimos afim de que o site não seja acessado, sua intenção é então frustrar o acesso a determinado site ou serviço, através de uma sobrecarga na capacidade de processamento do servidor que o hospeda.

Se corrermos por todo o código penal atual não encontramos qualquer tipo penal no qual poderíamos encaixar a intenção do autor deste ataque como crime praticado por meio informático, nem mesmo o projeto de lei de crimes digitais do senado Eduardo Azeredo prevê este tipo de crime.

Há, no entanto, naquele projeto, uma previsão que poderia incriminar o DDoS, trata-se do novo Art. 163-A que diz:

Dano por difusão de código malicioso eletrônico, ou digital ou similar

Art. 163-A: Criar, inserir, ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado.

Pena: Reclusão, de um (1) a três (3) anos, e multa.

Dano qualificado por difusão de código malicioso eletrônico ou digital ou similar

§ 1º Se o crime é cometido com a finalidade de destruição, inutilização, deterioração, alteração, dificultação do funcionamento, ou funcionamento desautorizado pelo titular, de dispositivo de comunicação, de rede de computadores ou de sistema informatizado:

Pena: reclusão, de dois (2) a quatro (4) anos, e multa.

Difusão de código malicioso eletrônico ou digital ou similar seguido de danos

§ 2º Se do crime resulta a inutilização, deterioração, alteração dificultação do funcionamento, ou funcionamento desautorizado pelo titular, de dispositivo de comunicação, de rede de computadores, ou de sistema informatizado e as circunstâncias demonstrem que o autor não quis o resultado, nem assumiu o risco de produzi-lo:
Pena: reclusão, de 3 (dois) a cinco (5) anos, e multa (sic)

§ 3º A pena é aumentada da sexta parte se o agente se vale de nome falso ou da utilização da identidade de terceiros para a prática do crime.

§ 4º Não há crime quando a ação do agente é a título de defesa digital, excetuando o desvio de fialidade e o excesso.

O DDoS depende da disseminação de código malicioso que será instalado no computador da uma vítima para que este possa então atuar como um zumbi, o que levaria ao crime previsto no parágrafo primeiro que prevê a exata situação de um DDoS, mas, mesmo se aprovado o projeto de lei de crimes digitais creio que não se conseguirá aplicá-lo pelas dificuldades que um DDoS traz para a identificação do autor do crime.

É interessante notar que o que neste caso não se coibirá a dificultação do acesso ao site, mas meramente a disseminação do programa que será utilizado pelo atacante com a finalidade dificultar o acesso ao site.

A questão da legalidade e obrigatoriedade do armazenamento dos logs de acesso não afeta somente ao Brasil, mas a todos os países do mundo que utilizam a Internet, a prova mais recente disto é a proposta de lei apresentada ao congresso americano para que todos que ofereçam acesso à internet mantenham os logs de acesso e informações que possibilitem a identificação dos usuários.

As propostas (S.436 e  H.R.1076 )apresentadas foram denominadas “Internet Safety Act” e prevem pena de prisão de até dez anos e multa a quem tenha motivo para acreditar quem favoreça o acesso ou o armazenamento de conteúdo de pedofilia e necessidade do armazenamento dos logs de acesso pelos provedores de comunicação eletrônica ou provedores de serviços online que permitam a identificação de um determinado usuário quando utiliza uma rede de acesso para utilizar um serviço online, por pelo menos dois anos.

Proposta de lei preve neessidade de armazenamento de logs de acesso por qualquer um que disponibilize acesso à rede

A razão de tais propostas é a proteção das crianças contra a pedofilia online, seja pela exposição ou exploração destas, assim qualquer serviço de armazenamento de dados deverá manter os registro de acesso dos usuários por pelo menos dois anos, facilitando a identificação dos envolvidos em atos de pedofilia.
A proposta de lei prevê a retenção

for a period of at least two years all records or other information pertaining to the identity of a user of a temporarily assigned network address the service assigns to that user.

Isto significa que qualquer pessoa que utilize o sistema de IP dinâmico, que é a atribuição de um número de IP para cada acesso, que ocorre quando um estabelecimento oferece acesso através do Wi-Fi ou mesmo de usuário domésticos que utilizam roteadores para conectar ao mesmo mais de um computador deverá manter os logs de acesso.

Qualquer empresa ou usuário doméstico deverá então manter os logs de acesso de seus cliente ou parentes afim de não ser processado se um crime for realizado utilizando-se da rede deste. A questão torna-se complexa pelo fato de muitos usuários domésticos manterem suas redes abertas e não terem a menor idéia de como gerar os tais logs de acesso.

É preocupante ainda a possível criminalização do fornecimento de serviços online, como e-mail, cloud computing ou redes sociais, que são usados com propósitos legais, porém, muitas vezes pedófilos os utilizam também e os provedores deste serviços de internet temem que seus serviços sejam considerados facilitadores do acesso destes pedófilos.

A questão é que normalmente os provedores de acesso não exercem nenhum tipo de controle sobre o conteúdo armazenado, o que poderia significar, caso ocorresse, quebra de privacidade ou censura, desta forma torna-se complicada a caracterização da responsabilidade dos funcionários desta empresa por terem conhecimento de serem facilitadores da pedofilia online.

Outro ponto polêmico nesta proposta de lei é a possibilidade de que tais logs de acesso não sejam utilizados apenas para fins de investigação criminal, apesar da previsão contemplar somente este fim, poderia beneficiar detentores de direitos autorais e aqueles que perseguem quem lhes profere ofensas à honra e à imagem na internet.

Apesar da complexidade e polêmica da proposta, a lei perfila-se com nosso entendimento de que devem ser registrados e armazenados os logs de acesso quando há interação do usuário com o site ou a coleta de dados que possam futura identificá-lo quando utiliza a rede, isto não fere sua privacidade e evita situações como a da cafeteria que oferecia acesso Wi-Fi e foi condenada pelo envio de uma mensagem ofensiva, por um de seus clientes, que não foi identificado, apesar de o prazo de armazenamento também não contemplar o prazo de prescrição dos cibercrimes mais comuns