quinta-feira, junho 28, 2012

Indicação (e download) de obra sobre Direito da Tecnologia

    Tive notícia do lançamento da fantástica obra "Inclusão Tecnológica e Direito à cultura: movimentos rumo à sociedade democrática do conhecimento". O livro é uma coletânea de artigos muito bem selecionada, e que conta com grandes nomes da área como José de Oliveira Ascensão e Carlos Afonso Pereira de Souza.

    Ele é editado pela Funjab e distribuído por meio de uma licença Creative Commons, o que permite que ele seja distribuído e reproduzido gratuitamente pela Internet, sem que isso represente uma violação de direitos autorais. Recomendo fortemente o download (e leitura).

    O download pode ser feito aqui. O link original da postagem foi feito pelo Grupo de Estudos em Direitos Autorais e Informação, o GEDAI, da Universidade Federal de Santa Catarina e pode ser acessado aqui.

segunda-feira, junho 25, 2012

Podcast Segurança Legal - Acesso remoto de terceiros

    No sexto episódio do podcast Segurança Legal abordamos o assunto "acesso remoto de terceiros".
    Atualmente é grande a parcela de empresas que permitem que terceiros (fornecedores de serviços, parceiros de negócio, clientes, etc) acessem sua infraestrutura de TI. Essa circunstância, quando mal conduzida, pode dar origem uma série de riscos de segurança de informação para todos os envolvidos.
    Analisamos os problemas mais comuns envolvidos nas situações de acesso remoto e propomos soluções tanto tecnológicas quanto jurídicas.
   O podcast conta com a participação de Guilherme Damasio Goulart, mestrando em Direito pela UFRGS, consultor em Segurança da Informação, professor universitário e advogado, além da participação de Vinícius Serafim, Mestre em Ciência da Computação pela UFRGS, consultor em Segurança da Informação e professor universitário. 



O mp3 do podcast além de poder ser ouvido no player acima, pode ser baixado diretamente aqui

sábado, junho 23, 2012

Análise preliminar da decisão do STJ que definiu prazo de 24 para retirada de material ofensivo da Internet

Trago alguns pensamentos que tive, em uma primeira leitura da decisão do STJ que envolveu a definição de prazo para retirada da Internet de conteúdos desabonatórios. Ressalto que se tratam de primeiras reflexões em uma análise preliminar e, nada impede, que eu venha a mudar meu posicionamento diante de uma análise mais apurada da situação. Para aqueles que ainda não leram a decisão, sugiro primeiro sua leitura (são apenas 10 páginas entre ementa e voto) para após fazerem a leitura de meu texto.

Recentemente, o STJ julgou uma ação que tinha por objeto a definição de qual seria o prazo razoável para a retirada de um conteúdo da Internet após o recebimento de notificação pelo provedor de conteúdo (no caso o Google, mantenedor do Orkut). A referida "notificação" consistia naquela realizada por meio da ferramenta "denúncia de abuso". Essas ferramentas são comuns em provedores de conteúdo, tendo por fim a comunicação do provedor sobre eventuais conteúdos ilícitos, uma vez que este não possui um dever anterior de monitoramento do que é publicado. A decisão determinou que se, após a notificação, o provedor não retirar o conteúdo em 24 horas, fica responsável solidariamente com "o autor direto do dano".

Inicialmente, espanta-me o fato de que a decisão ignorou completamente o que vem sendo amplamente discutido por juristas de todo o Brasil na formação do projeto de lei conhecido como "Marco Civil". Evidentemente trata-se de um projeto de lei, mas, no entanto, caminha de forma muito determinada para aprovação e transformação em lei. Seu art. 15 assim estabelece:

"Salvo disposição em contrário, o provedor de aplicações de Internet somente poderá ser responsabilizado por danos decorrentes de conteúdo gerado por terceiro se, APÓS ORDEM JUDICIAL ESPECÍFICA, não tomar as providências para, no âmbito do seu serviço e dentro do prazo assinalado, tornar indisponível o conteúdo apontando como infringente."

Como pode ser observado, o Marco Civil estabelece a necessidade de ordem judicial que irá determinar não apenas a pertinência da retirada do material, bem como, definir o prazo adequado diante da complexidade da demanda.

Não se discute o fato de que a decisão procura equacionar e compatibilizar, basicamente, dois interesses: por um lado a liberdade de expressão e, por outro, a proteção daqueles que forem lesados por meio de conteúdos ofensivos. No entanto, não pode ser afastado o fato de que a definição da ilicitude de um material publicado na Internet deve passar obrigatoriamente pelo crivo do judiciário. No afã de proteger os interesses dos ofendidos na Internet, a decisão estabelece a desnecessidade de recorrer ao judiciário, dando aos provedores o poder de "julgar" o que venha a ser um "conteúdo desabonador". O raciocínio é perigoso e, se aplicado a outras situações, pode gerar situações bastante perigosas para a própria liberdade de expressão.

Outro ponto relevante: é possível estabelecer, de antemão e para todos os casos, um tempo específico para a retirada do conteúdo? Não seria mais adequada e correta a análise do caso concreto - como prevê o Marco Civil - para, só assim, verificar se houve negligência ou inércia do provedor? De qualquer forma, o objeto da lide julgada pelo STJ era justamente a definição do que pode ser entendido como "prazo razoável" para que páginas sejam retiradas do ar. E a decisão segue a diretriz de que o provedor, uma vez notificado, deve agir de forma enérgica e urgente. Portanto, a definição do prazo de 24 horas foi assim definida diante das "peculiaridades que cercam a controvérsia" o que não impede que seja necessário um prazo maior para questões mais complexas. Não vejo como afastar a análise do caso concreto para a definição do prazo de retirada do material, questão que só pode ser decidida pelo judiciário.

Pergunto-me também como agirão as empresas, diante desse precedente, que se sentirem prejudicadas com blogs e comunidades que realizam críticas a produtos ou serviços. Talvez a decisão motive uma enxurrada de solicitações de retirada de material por empresas que se sentirem afetadas por críticas, resenhas desabonatórias de produtos, etc. O mesmo pode ser dito, também, em situações de alegadas violações de direitos autorais.

Uma outra pergunta que deve ser feita: qual será a ação do provedor que ficar em dúvida diante da solicitação de retirada de algum material? O provedor decidirá pela preservação da liberdade de expressão ou decidirá pela retirada do material para, com isso, eximir-se de qualquer responsabilidade? A resposta parece evidente.

A responsabilização solidária do provedor pela não retirada do material em 24 horas só dá um incentivo a ele: a retirada de todo e qualquer material que for objeto de notificação. Por que o provedor iria se arriscar a ser solidariamente responsável se ele pode, simplesmente, remover o material? Certamente é mais seguro para o provedor retirar o material e aguardar uma eventual ação baseada na retirada indevida do que não retirar o material e ser solidário com o ofensor. Destaque-se também que o dano pela publicação do material na Internet é sempre alto e a jurisprudência brasileira já vem se posicionando, há muito, em utilizar a função punitiva das indenizações, o que pode ampliar os valores das condenações.

A decisão menciona também que o provedor deve tomar as medidas judiciais cabíveis contra aqueles que "abusarem da prerrogativa de denunciar". Será? Parece-me, em primeira análise, que quem detém a legitimidade para propor eventual medida contra o abuso da prerrogativa de denunciar é a parte prejudicada, ou seja, aquele que teve a informação indevidamente retirada do ar, e não o provedor. Qual o interesse que o provedor teria de tomar um providência legal contra uma falsa denúncia? Não consigo enxergar qualquer interesse do provedor em uma situação assim. Inicialmente o provedor não sofre dano algum em uma situação de falsa denúncia, quem sofre é o titular do conteúdo indevidamente retirado. Para o provedor, pouco importa se o conteúdo estiver ou não publicado. A partir dessa decisão, sua preocupação maior será a de não ser condenado solidariamente com aquele que criou o conteúdo.

Por outro lado, também é possível defender a circunstância de que o usuário deve respeitar os termos de uso da rede social, em especial, aqueles que impedem a publicação de material ofensivo. Se o usuário não respeita os termos e, com isso, causa dano à empresa mantenedora do serviço, tem a empresa direito de obter a reparação dos danos provocados pelo usuário. Mesmo  assim, parece-me menor a probabilidade de ações por pessoas que tiverem perfis ou informações excluídos indevidamente em face de denúncias falsas ou dúbias. Note que para a exclusão de informações pretensamente ilícitas ou desabonatórias, não há mais a necessidade de ação judicial. No entanto continua havendo a necessidade de ação para a apuração do dano em situações de retirada indevida de material em função de denúncia falsa ou abusiva.

É certo, todavia, que os provedores precisarão implementar mecanismos de retirada de conteúdo e comunicação de abuso muito mais complexos bem como reorganizar completamente suas operações. Nada impede, inclusive, que seja dificultada ao máximo a realização das notificações feitas via as tradicionais ferramentas de abuso. No entanto, nada impede também, que o ofendido notifique extrajudicialmente o provedor que, uma vez notificado, deve prontamente retirar o conteúdo do ar. Após o recebimento dessa notificação extrajudicial, o provedor necessitará de uma organização interna muito eficiente para, em apenas 24 horas, retirar o conteúdo em questão.

Apenas à título de argumentação, será que essa disposição não poderia ser usada também em situações envolvendo manifestações de candidatos em período eleitoral? É certo que, como já há lei especial (9.504/97) tratando da matéria, essa deve ser aplicada ao caso concreto. Mas não seria mais fácil para um candidato, utilizar-se da notificação de abuso para solicitar a retirada de conteúdo "depreciativo" ou "ofensivo" em disputas eleitorais? E a propaganda extemporânea também estaria coberta? E o provedor, diante desse dilema, não teria sempre o incentivo pernicioso de retirar o conteúdo do ar para não ser responsável solidário?

Nota-se, igualmente, a importância que os termos de uso do Orkut tiveram no deslinde da questão. O voto da relatora ressalta que nos referidos termos de uso, a empresa destaca que uma vez realizada a denúncia de conteúdo ela pode "removê-lo imediatamente". Esta afirmação feita na política de uso foi levada em consideração pela relatora que entendeu, em face da afirmação, que o Google possui sim meios para a "exclusão imediata de conteúdo". Mesmo assim, merece ser dito, que certamente houve uma interpretação por demais literal dos termos de uso. Sem dúvida que o Google pode retirar o conteúdo "imediatamente" e possui meios para isso. O que necessita de mais tempo, por óbvio, é justamente a análise da pertinência da retirada ou da ilicitude do referido conteúdo.

Outro ponto que deve ser destacado na decisão é que o Google não comprovou de forma objetiva "as dificuldades para remoção dos dados de conteúdo desabonador", o que também apoiou a decisão da remoção urgente. Tivesse provado as dificuldades técnicas de remoção, talvez o desfecho fosse outro.

Em uma análise preliminar, como já disse, tenho a impressão que a decisão do STJ constitui um precedente perigoso. Vejo que a liberdade de expressão pode ser afetada, bem como a própria dinâmica de funcionamento das redes sociais. A responsabilização solidária dos provedores dá a eles o incentivo de retirar qualquer material que for objeto de notificação para, assim, eximir-se de responsabilidade. Além do mais, a decisão vai contra as disposições do Marco Civil da Internet, o que parece ser um verdadeiro retrocesso.

sexta-feira, junho 22, 2012

Norma Complementar nº 15/IN01/DSIC/GSIPR - Uso seguro das Redes Sociais na Administração Federal

Foi publicada no Diário Oficial da União do dia 21 de junho de 2012, a Portaria nº 38 do Conselho de Defesa Nacional (CDN) homologando a Norma Complementar nº 15/IN01/DSIC/GSIPR que estabelece as Diretrizes para o uso seguro das redes sociais nos órgãos e entidades da Administração Pública Federal, direta e indireta.

O download da Norma Complementar pode ser feito diretamente aqui.

terça-feira, junho 12, 2012

Podcast Segurança Legal - Interceptação Telemática

  No quinto episódio do podcast Segurança Legal abordamos o assunto "interceptações telemáticas".

   Como tanto as interceptações telemáticas, quanto as telefônicas, necessitam de autorização judicial e só podem ser realizadas em investigações criminais, convidamos um perito da Polícia Federal para falar sobre o assunto: o sr. Paulo Cesar Herrmann.

     O convidado é Bacharel e Mestre em Ciência da Computação pela UFRGS. Trabalhou como professor universitário ministrando cursos na UNISINOS e UNISC. Trabalha na Polícia Federal desde 2005 como Perito Criminal Federal atuando em perícias de informática e cursos de capacitação EAD.

   O podcast conta com a participação de Guilherme Damasio Goulart, mestrando em Direito pela UFRGS, consultor em Segurança da Informação, professor universitário e advogado, além da participação de Vinícius Serafim, Mestre em Ciência da Computação pela UFRGS, consultor em Segurança da Informação e professor universitário.

O mp3 do podcast além de poder ser ouvido no player acima, pode ser baixado diretamente aqui


Shownotes

São feitas referências a algumas notícias e documentos, os quais são listados abaixo para pesquisa.

segunda-feira, junho 04, 2012

O mercado de vulnerabilidades e o Futuro da Segurança

O presente artigo é uma tradução livre para o português do artigo "The Vulnerabilities Market and the Future of Security" do autor americano Bruce Schneier. A publicação e tradução só foi possível diante da autorização direta do autor. A única condição solicitada por ele foi a indicação do link original do artigo, que pode ser encontrado diretamente aqui. O artigo também foi publicado na revista americana Forbes.

O mercado de vulnerabilidades e o Futuro da Segurança
Por Bruce Schneier
Trad. Guilherme Damasio Goulart e Vinícius da Silveira Serafim


     Diversos artigos têm sido publicados sobre o novo mercado de “zero-day exploits"[1], envolvendo vulnerabilidades computacionais novas e sem correção. Eles não se referem apenas às empresas de software, as quais às vezes pagam recompensas para os pesquisadores que as alertarem sobre vulnerabilidades de segurança, podendo, assim, corrigi-las. Atualmente há também governos -  e empresas que vendem para governos - que compram vulnerabilidades com a intenção de as manterem em segredo para, após, poderem explorá-las.
    
        Esse mercado é maior do que as pessoas têm consciência e está se tornando ainda cada vez maior. Recentemente, a revista Forbes publicou uma lista de preços para os “zero-day exploits”, juntamente com a história de um hacker que recebeu U$ 250.000,00 de um “contratado do governo americano” (no início eu não acreditei na história e na lista de preços, mas fui convencido de que ambas eram verdadeiras). A revista Forbes publicou um perfil de uma empresa chamada Vupen, cujo negócio é vender “zero-day exploits”. Outras empresas estão nesse ramo e vão desde startups como a Netragard e a Endgame até grandes empresas de fornecimento de soluções de defesa como a Northrop Grumman, General Dynamics e Raytheon.

       A situação é muito diferente da ocorrida em 2007, quando o pesquisador Charlie Miller escreveu sobre as suas tentativas de vender os “zero-day exploits”; e também da pesquisa feita em 2010 que revelou não haver muito dinheiro envolvido na venda de “zero day exploits”. O mercado amadureceu substancialmente nos últimos anos. Esse novo mercado perturba a economia envolvida no ato de encontrar vulnerabilidades de segurança e o faz em detrimento de todos nós.

     Há muito venho sustentando que o processo de encontrar vulnerabilidades de segurança em sistemas e softwares aumenta a segurança global. Isso ocorre pois a economia da caça de vulnerabilidades favorece a sua divulgação. Enquanto o principal ganho de se encontrar vulnerabilidades for a notoriedade, a divulgação pública das vulnerabilidades tem um único caminho óbvio. De fato, levou anos para a nossa indústria mover-se de um modelo de divulgação total - anunciando a vulnerabilidade publicamente e suportando as consequências - para um modelo chamado de “divulgação responsável”: dando ao fornecedor de software a vantagem de corrigir a vulnerabilidade. A alteração nessa economia é o que provoca a mudança: em vez de ganhar apenas notoriedade técnica, alguém que tenha sucesso encontrando vulnerabilidades pode obter algum lucro como consultor (e facilita ser um pesquisar de segurança responsável). Mas, independente das motivações, uma vulnerabilidade descoberta significa - na maior parte dos casos - uma vulnerabilidade corrigida. E uma vulnerabilidade corrigida torna todos mais seguros.

   É por isso que o novo mercado de vulnerabilidades é tão perigoso; ele resulta no fato das vulnerabilidades permanecerem secretas e sem correção. Isso é ainda mais lucrativo do que o mercado de vulnerabilidades públicas, o que significa que mais hackers escolherão esse caminho. E ao contrário da recompensa anterior de notoriedade e de trabalhos de consultoria, isso dá aos desenvolvedores de softwares de uma empresa o incentivo de, deliberadamente, criar vulnerabilidades nos produtos em que eles estão trabalhando, para em seguida vendê-los secretamente a algum órgão do governo.

     Nenhum fornecedor executa a revisão de código fonte em um nível necessário para detectar e provar a má intenção nesse tipo de sabotagem. Ainda mais importante, o novo mercado de vulnerabilidades de segurança resulta em uma variedade de órgãos governamentais ao redor do mundo que possuem um forte interesse em que essas vulnerabilidades permaneçam sem correção. Entre esses há desde órgãos que realizam a aplicação ou cumprimento das leis (como o FBI e a polícia alemã que estão tentando construir ferramentas específicas de vigiância da Internet); órgãos de inteligência como a NSA[2], que estão tentando construir ferramentas de vigilância em massa da Internet e até organizações militares que tentam construir armas cibernéticas.

    Todos esses órgãos, por muito tempo, tiveram que lidar com a dúvida entre usar as novas vulnerabilidades descobertas para proteger ou para atacar. Dentro da NSA, isso era tradicionalmente visto como um dilema[3], e o debate se dava entre o COMSEC (communications security) e o SIGINT (signals intelligence), ambos da NSA. Se eles encontrassem uma falha em um algoritmo criptográfico popular, poderiam utlizar essa informação ou para corrigir o algoritmo e tornar a comunicação de todos mais segura, ou eles poderiam explorar a falha para fins de espionagem - enquanto, ao mesmo tempo, isso permitisse que as pessoas que eles desejavam proteger permanecessem vulneráveis. Esse debate se arrastou durante décadas dentro da NSA. Pelo que eu ouvi, até por volta de 2000, o COMSEC vinha ganhando as discussões com folga, mas as coisas mudaram completamente após o 11 de Setembro.[4]

    Todo o sentido na divulgação de vulnerabilidades de segurança é impor uma pressão nos fornecedores para que produzam programas mais seguros. Não que eles só corrijam vulnerabilidades que se tornam públicas - o medo da má publicidade faz com que eles implementem processos mais seguros de desenvolvimento de programas. Trata-se de outro processo econômico: o custo de projetar um programa seguro é, em primeiro lugar, menor do que o custo relacionado com a má publicidade após o anúncio de uma vulnerabilidade mais o custo de escrever e distribuir a correção do software. Eu seria o primeiro a admitir que isso não é perfeito - há ainda muitos programas mal escritos por aí - mas é o melhor incentivo que nós temos.

    Nós sempre esperamos que a NSA (e outros como ela) mantenha em segredo as vulnerabilidades que descobrir. Com o surgimento dessas novas pressões para manter os “zero-day exploits” secretos, e vendê-los para a exploração, haverá ainda menos incentivos para os fabricantes de softwares garantirem a segurança de seus produtos.

      Se por um lado cresce o incentivo para que os hackers mantenham as vulnerabilidades em segredo, por outro, diminui o incentivo para os fabricantes construírem softwares seguros. Conforme colocado em um ensaio recente da EFF[5], isso é “segurança para 1%”, e faz o resto de nós menos seguros.
5
Notas
1. O termo “zero-day exploits” não foi traduzido, sendo mantido no original por uma questão de estilo e devida compreensão. Não se tem visto a tradução desse termo em textos brasileiros, mas seria algo semelhante à "exploração de dia zero". No inglês, também são utilizados os termos “zero-hour”, “day-zero” seguidos de “attack” ou “threat”. Um “zero-day exploit” nada mais é do que uma ameaça que explora uma vulnerabilidade em um sistema informático que era desconhecida até o momento, inclusive pela empresa desenvolvedora do software. Mais informações podem ser lidas em http://en.wikipedia.org/wiki/Zero-day_attack.
2. NSA significa “National Security Agency”.
3. O termo original é “equities issue” e foi traduzido como “dilema” baseado no artigo do mesmo autor chamado "Dual-Use Technologies and the Equities Issue". No aspecto militar, basicamente as tecnologias possuem um uso "dual", e podem ser usadas tanto no ataque quanto na defesa. Em função disso, quando um órgão militar descobre uma vulnerabilidade em uma dessas tecnologias, ele pode tomar duas ações diferentes: a primeira é alertar o fabricante, o que faz com que a vulnerabilidade seja corrigida. Dessa forma, do ponto de vista militar, tanto os cidadãos como os inimigos ficarão mais seguros. A segunda possibilidade é ficar em silêncio e, com isso, aproveitar-se da vulnerabilidade. No entanto, isso deixa tanto a população como os inimigos menos seguros. O dilema ou paradoxo, aqui, refere-se à escolha em divulgar ou não a vulnerabilidade. 
4. Conforme o artigo "Dual-Use Technologies and the Equities Issue" já citado anteriormente, a posição da NSA pós 11 de Setembro, foi a de manter em sigilo as vulnerabilidades. 

5. A sigla EFF refere-se à "Electronic Frontier Foundation".
Related Posts Plugin for WordPress, Blogger...