Tomei conhecimento agora a pouco, através do Direito e Trabalho, sobre o inquerito policial aberto para investigar possível cybercrime de violação de sigilo cometido por este ao divulgar dados de cliente do speedy explorando uma falha de segurança no banco de dados da empresa.
Utilizando SQL Injection Vinucius K-Max agora é investigado por possivelmente ter cometido cybercrime
Em julho o Vinicuis K-Max descobriu que o site da telefonica era vulnerável ao SQL injection e criou um site que divulgava alguns dos dados encontrados no banco sem fornecer os últimos dígitos de telefones ou CPF, por exemplo, tentando proteger a privacidade dos consumidores, o que para a polícia paulista não teria impossibilitado a caracterização do cybercrime que apuram.
Em entrevista publicada na Info online, K-Max afirma que a ultima atualização no site da telefonica deu-se a cerca de três anos pois, pois a informação do “header http Last-Modified” datava deste ano.
O art. que teoricamente ele teria infringido é o 153, que diz
Art. 153 – Divulgar alguém, sem justa causa, conteúdo de documento particular ou de correspondência confidencial, de que é destinatário ou detentor, e cuja divulgação possa produzir dano a outrem.
Caso o inquérito conclua pela violação do artigo acima e o juiz aceite a acusação, creio que a principal defesa a ser explorada é a “justa causa” na divulgção dos dados, por três anos a telefonica manteve seu banco de dados com esta falha e em 24 horas, após o início da possível execução deste cybercrime, a telefonica a corrigu, impedindo a divulgação dos dados sigilosos de seus clientes do speedy
Outro ponto a ser explorado é o fato de que o K-max não era o portador dos dados, por isso não teria violado o artigo em questão, enfim, estas análises superficiais das possíveis defesas caso o juiz aceite a denúncia.
Creio no entanto que poderia sim ter havido violações ao artigo 5º da constituição federal, em seu inciso X e talvez ao XII,
X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação;
(…)
XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal
de toda a forma, não creio em violação ao inciso XII pois não houve interceptação dos dados, mas mera consulta, por fim também pode ter havido uma possível violação aos direitos autorais devido a manipulação da base de dados da telefonica, que é protegida nos termos da LDA, art. 7º, XII
Apesar de tudo preocupa-me mais o fato de que este caso será artilharia pesada nas mãos do senador Eduardo Azeredo para aprovar seu AI-5 digital.
Foto utilizada de acordo com os termos da licença Creative Commons By-NC originalmente publicada no Flickr de prashant_zi.
DoS é um ataque ao servidor que hospeda determinado site, o atacante passa a fazer tantas requisições ao servidor que este não consegue mais atender a solicitação dos outros usuários, ou quando o faz, não ocorre de forma satisfatória, visto que grande parte da capacidade de processamento do servidor está direcionada a atender as solicitações do atacante, por fim há, ao usuário legítimo, uma “negação de serviço” do inglês Denail of service.
esquema de um ataque DDoS
Há uma forma mais específica de DoS que é o DDoS (Distributed Denial of Service) em que o ataque não é realizado por apenas um computador, mas um verdadeira rede de computadores, chamados zumbis, infectados por programas que se comunicam com outros computadores, chamados de mestres, que recebem as ordens do atacante e as repassam para os zumbis. Neste caso há três tipos de vítimas deste suposto crime, os “zumbis”, os “mestres” e o site destino do ataque, desde que os zumbis e os mestres não participem conscientemente do ataque.
A questão que se levanta é se o DoS e o DDos são ou não crimes.
Para responder a essa questão é necessário primeiramente investigar qual a intenção da pessoa que comanda um ataque deste tipo.
Como o nome diz a intenção é que haja uma negação de serviço aos usuários legítimos afim de que o site não seja acessado, sua intenção é então frustrar o acesso a determinado site ou serviço, através de uma sobrecarga na capacidade de processamento do servidor que o hospeda.
Se corrermos por todo o código penal atual não encontramos qualquer tipo penal no qual poderíamos encaixar a intenção do autor deste ataque como crime praticado por meio informático, nem mesmo o projeto de lei de crimes digitais do senado Eduardo Azeredo prevê este tipo de crime.
Há, no entanto, naquele projeto, uma previsão que poderia incriminar o DDoS, trata-se do novo Art. 163-A que diz:
Dano por difusão de código malicioso eletrônico, ou digital ou similar
Art. 163-A: Criar, inserir, ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado.
Pena: Reclusão, de um (1) a três (3) anos, e multa.
Dano qualificado por difusão de código malicioso eletrônico ou digital ou similar
§ 1º Se o crime é cometido com a finalidade de destruição, inutilização, deterioração, alteração, dificultação do funcionamento, ou funcionamento desautorizado pelo titular, de dispositivo de comunicação, de rede de computadores ou de sistema informatizado:
Pena: reclusão, de dois (2) a quatro (4) anos, e multa.
Difusão de código malicioso eletrônico ou digital ou similar seguido de danos
§ 2º Se do crime resulta a inutilização, deterioração, alteração dificultação do funcionamento, ou funcionamento desautorizado pelo titular, de dispositivo de comunicação, de rede de computadores, ou de sistema informatizado e as circunstâncias demonstrem que o autor não quis o resultado, nem assumiu o risco de produzi-lo:
Pena: reclusão, de 3 (dois) a cinco (5) anos, e multa (sic)
§ 3º A pena é aumentada da sexta parte se o agente se vale de nome falso ou da utilização da identidade de terceiros para a prática do crime.
§ 4º Não há crime quando a ação do agente é a título de defesa digital, excetuando o desvio de fialidade e o excesso.
O DDoS depende da disseminação de código malicioso que será instalado no computador da uma vítima para que este possa então atuar como um zumbi, o que levaria ao crime previsto no parágrafo primeiro que prevê a exata situação de um DDoS, mas, mesmo se aprovado o projeto de lei de crimes digitais creio que não se conseguirá aplicá-lo pelas dificuldades que um DDoS traz para a identificação do autor do crime.
É interessante notar que o que neste caso não se coibirá a dificultação do acesso ao site, mas meramente a disseminação do programa que será utilizado pelo atacante com a finalidade dificultar o acesso ao site.
A questão da legalidade e obrigatoriedade do armazenamento dos logs de acesso não afeta somente ao Brasil, mas a todos os países do mundo que utilizam a Internet, a prova mais recente disto é a proposta de lei apresentada ao congresso americano para que todos que ofereçam acesso à internet mantenham os logs de acesso e informações que possibilitem a identificação dos usuários.
As propostas (S.436 e H.R.1076 )apresentadas foram denominadas “Internet Safety Act” e prevem pena de prisão de até dez anos e multa a quem tenha motivo para acreditar quem favoreça o acesso ou o armazenamento de conteúdo de pedofilia e necessidade do armazenamento dos logs de acesso pelos provedores de comunicação eletrônica ou provedores de serviços online que permitam a identificação de um determinado usuário quando utiliza uma rede de acesso para utilizar um serviço online, por pelo menos dois anos.
Proposta de lei preve neessidade de armazenamento de logs de acesso por qualquer um que disponibilize acesso à rede
A razão de tais propostas é a proteção das crianças contra a pedofilia online, seja pela exposição ou exploração destas, assim qualquer serviço de armazenamento de dados deverá manter os registro de acesso dos usuários por pelo menos dois anos, facilitando a identificação dos envolvidos em atos de pedofilia.
A proposta de lei prevê a retenção
for a period of at least two years all records or other information pertaining to the identity of a user of a temporarily assigned network address the service assigns to that user.
Isto significa que qualquer pessoa que utilize o sistema de IP dinâmico, que é a atribuição de um número de IP para cada acesso, que ocorre quando um estabelecimento oferece acesso através do Wi-Fi ou mesmo de usuário domésticos que utilizam roteadores para conectar ao mesmo mais de um computador deverá manter os logs de acesso.
Qualquer empresa ou usuário doméstico deverá então manter os logs de acesso de seus cliente ou parentes afim de não ser processado se um crime for realizado utilizando-se da rede deste. A questão torna-se complexa pelo fato de muitos usuários domésticos manterem suas redes abertas e não terem a menor idéia de como gerar os tais logs de acesso.
É preocupante ainda a possível criminalização do fornecimento de serviços online, como e-mail, cloud computing ou redes sociais, que são usados com propósitos legais, porém, muitas vezes pedófilos os utilizam também e os provedores deste serviços de internet temem que seus serviços sejam considerados facilitadores do acesso destes pedófilos.
A questão é que normalmente os provedores de acesso não exercem nenhum tipo de controle sobre o conteúdo armazenado, o que poderia significar, caso ocorresse, quebra de privacidade ou censura, desta forma torna-se complicada a caracterização da responsabilidade dos funcionários desta empresa por terem conhecimento de serem facilitadores da pedofilia online.
Outro ponto polêmico nesta proposta de lei é a possibilidade de que tais logs de acesso não sejam utilizados apenas para fins de investigação criminal, apesar da previsão contemplar somente este fim, poderia beneficiar detentores de direitos autorais e aqueles que perseguem quem lhes profere ofensas à honra e à imagem na internet.
Apesar da complexidade e polêmica da proposta, a lei perfila-se com nosso entendimento de que devem ser registrados e armazenados os logs de acesso quando há interação do usuário com o site ou a coleta de dados que possam futura identificá-lo quando utiliza a rede, isto não fere sua privacidade e evita situações como a da cafeteria que oferecia acesso Wi-Fi e foi condenada pelo envio de uma mensagem ofensiva, por um de seus clientes, que não foi identificado, apesar de o prazo de armazenamento também não contemplar o prazo de prescrição dos cibercrimes mais comuns