"Enquanto achar que sabe o que é certo, a mídia nunca estará em posição de utilizar a inteligência coletiva das pessoas"
Estudando e refletindo sobre a crescente participação popular nos processos democráticos e sobre a internet como principal influenciadora de eleitores na hora da decisão do voto, me debrucei vagamente sobre a obra "Wikinimics" (2007) de Dom Tapscott e Anthony D. Willians, onde ancorei na temática envolvendo a produção e consumo de mídia com a Internet.
Embora um livro que ainda não dava a importância que o Facebook hoje merece (focando mais em MySpace), temos importantes lições e princípios para tirar sobre a questão da mídia colaborativa, dentre elas que "a mídia somos nós".
Segundo os autores, "em um mundo onde tudo que você precisa é de um celular com câmera para mostrar o que está acontecendo à sua volta, não é mais tão simples limitar o papel de uma pessoa" (pág. 178). Tal análise esclarece bem o momento em que vivenciamos, o do jornalismo cidadão.
Os autores citam o exemplo do "digg", onde pessoas podem enviar notícias e artigos que são rankeados e ficam na página principal, a critério dos usuários (consumidores de mídia) através do botão "digg". Se pararmos para pensar, o usuário está exercendo o controle editorial do serviço, o que segundo os autores "poderiamos dizer que a comunidade é o editor" (pág. 180)
O exemplo do "digg" é uma clássica demonstração de como pode-se criar serviços na rede que possam se transformar em verdadeiros passatempos sociais. Os prosumers (consumidores que produzem o que consomem e tem o novo "direito de modificar") desejam isto: participar, comentar, editar, alterar… E os editores tradicionais? Olham para sites como "digg" e redes como Facebook e se preocupam com o fato de matérias de segunda categoria chegarem à primeira página.
Para Tapscott e Willians, hoje em dia, toda organização séria também deveria permitir que sua comunidade de leitores participasse das discussões editoriais, e o problema não é tecnológico (tecnologia existe), mas sim, medo. Quantos editores hoje que não permitem que comentários sejam publicados nas páginas do Jornal, impondo-nos um modelo de nítida resistência arcaica à web 2.0? Poderíamos chamar esta atitude de desprezo à inteligência coletiva dos consumidores de mídia? Eis a questão…
Seja como for, na nova web a premissa de que "a informação deve se deslocar de produtos credenciados para consumidores passivos" é totalmente relativizada. Pessoas que trabalham em mídia tradicional passam a ser consideradas "árbitros do bom gosto", e é nisso que vem o problema:
"Enquanto achar que sabe o que é certo, a mídia nunca estará em posição de utilizar a inteligência coletiva das pessoas. São uma cultura e uma maneira de pensar o conhecimento completamente diferentes", avalia Judy Rebick, fundadora do Rabble (fórum canadense sobre discussão acerca da mídia).
E para as mídias tradicionais que ignorarem este aviso? O livro deixa claro (pág. 182) que "a constante falta de reatividade será a ruína final deles. As organizações de mídia que não conseguirem enxergar esse aviso serão superadas por uma nova geração de prosumers conhecedores de mídia que cada vez mais acreditam nas opiniões de seus colaboradores (peers) em detrimento da autoridade da CNN ou do Wall Street Journal".
Vale a reflexão e a adoção rápida de medidas que reconheçam o poder já conferido aos usuários, há muito tempo, graças a anatomia da web.
O que realmente pode acontecer a partir de 1 de março de 2012 com a vigência da "camisa de força digital"
Todos estão recebendo e-mails, pop-ups e alertas do Google sobre sua nova "Política de Privacidade". A partir de 1º de março, usuários que continuam usando os serviços tacitamente declaram concordância com as novas regras impostas pelo provedor de serviços. Longe das declarações superficiais, apaziguadoras e que nunca dizem toda a verdade, por parte dos representantes do Google, é hora do cidadão saber realmente como ficará sua privacidade.
Se você acha que esta informação é dispensável, talvez não tenha percebido o valor deste direito - o direito de proteção dos dados pessoais, o direito de estar só, de não ser rastreado ou ter padrões, comportamentos privados e hábitos logados a cada passo que se dá no mundo virtual.
Primeiramente, na verdade, nada é para melhorar a "comodidade dos internautas". Você realmente acredita nisso? O fato é que hoje, além da política de privacidade geral, alguns serviços do provedor tinham regras próprias, adicionais. Com a nova política, estas regras (aproximadamente 60) ficam agrupadas em uma única regra. E o que tem de mal?
Em se unificando as políticas, o Google também se permite utilizar o que já estruturou antes de consultar o cidadão: um grande centro de mineração de dados, um poderoso cérebro de cruzamento, que agora, agrupará informações de todos os serviços, antes separados, isolados.
Quais os efeitos? Um cidadão que tenha uma conta de e-mail Gmail quebrada por determinação da Justiça, como os dados agora são coletados por um todo, poderá ver sua privacidade em outros serviços (Blogger, Orkut, Docs etc.) quebrada. Não há garantias que diante desta nova política, não fique mais fácil a autoridades e interessados obterem dados além dos necessários para uma investigação ou repressão de um ato ilícito.
Imagine que você faz uma pesquisa relacionada a sexualidade no buscador e neste momento, YouTube e Gmail são influenciados por esta busca; no Orkut ou Google+, perfis de vendas de produtos eróticos lhe enviam mensagens. Como se livrar deste rastro?
Você está no caminho de uma reunião. O tráfego parece estar diminuindo. Um texto surge: "você vai se atrasar, pegue a próxima saída para a rota alternativa". Você realmente deseja esta facilidade proposta pelo Google? Pois bem, para isso acontecer, considere que o Google bisbilhotou sua localização de seu celular Android e além disso fuçou no seu Calendar, para saber para onde você ia e quais seus compromissos!
Segundo a revista ScientificAmerica, teríamos também um problema grave de integração de dados entre contas diferentes. Imagine que você tem uma conta pessoal (usada para diversão) e outra profissional? Você gostaria de ter a integração entre ambas, relacionamentos, contatos, termos pesquisados? Pense bem...
A revista vai além, e explica que mais um problema futuro seria o descobrimento dos usernames, pois o Google+ solicita nomes reais e outros serviços, como YouTube, não. A partir de 01 de março, em tese, seu nome real poderia aparecer em todos os seus produtos Google. Legal?
Ao passo em que aprimora sua gestão de informações, o Google passa a ter um dossiê global e integrado de cada usuário de Internet, com cabeçalhos HTTP, IPs, localização geográfica, termos procurados, sua agenda do Calendar, conversas do Gtalk, documentos do Docs, etc. etc. Imagine tudo isto integrado, nas mãos das pessoas erradas?
Cada serviço do Google tem sua característica, o que demanda proteções adicionais de privacidade. Não se pode, em prejuízo do principio da especificidade (ou especialidade), conceder a serviços distintos regras idênticas. Cada dado deve ser coletado para finalidade específica. Agora, crio um simples e-mail e dou o direito ao Google de usar estes dados em todos os seus outros serviços? Sim! Não existe finalidade! E aliás, esta unificação parte da base mais protetiva à privacidade ou mais aberta? Com certeza da mais aberta. Pegue o serviço do Google que mais lhe dá direitos em relação a dados de usuários, unifique a todos os demais e pronto, estamos oferecendo "comodidade, facilidade aos internautas".
Não se trata de comodidade, mas de estratégia para anúncios focados, para lucrar com seus dados. Igualmente, é obscura a declaração da Privacy Officer do Google de que "os governos requisitaram regras menores e mais simples em relação à privacidade". Fica clara a intenção, favorecer quebras de sigilo, investigações e anúncios publicitários.
E para o usuário, o que resta? Não fazer login? Ignorar sua privacidade rumo a "novas experiências"? Não! Cabe ao Google nos dar o direito de escolhermos e desativarmos a combinação, conexão e intercâmbio de informações. Lembrando que pelo anteprojeto de Lei de proteção de dados pessoais, toda a combinação de informações deve ser previamente e expressamente autorizada pelo usuário, que aliás poderá revogá-la a qualquer momento. Não devemos buscar somente o direito de desligar anúncios, mas de desligar esta correlação de informações. Não devemos buscar o direito de limpar o histórico, mas efetivamente limpar os registros dos servidores do provedor...
O cidadão que quiser, por exemplo, manter dados desvinculados entre os serviços, segundo o Google só teria duas saídas: ou não fazer login ou criar novas contas. Imagine-se com uma conta para cada serviço?
É hora de buscarmos nossos direitos inerentes à privacidade digital, como os de poder peticionar e conhecer realmente cada informação que o provedor coleta sobre nós, o de realizar as chamadas "auditorias de privacidade" e principalmente o de "opt-out" de mudanças suspeitas nas regras do jogo, como a presente. Nos Estados Unidos, um bom exemplo: os republicanos Ed. Markey e Joe Barton já solicitaram à Federal Trade Comission (FTC) a investigação das violações à privacidade estampadas pela nova política (Veja carta aqui), zelando, efetivamente, pelos direitos dos usuários.
Então me desculpe, mas não vejo benefício algum na política do Google, a não ser para aqueles ávidos em conhecer o que fazemos: anunciantes, empresas, governo e ao próprio Google, que terá mais tráfego em seus serviços.
Você pode até pensar, "Ora, mas o Google já faz isso há tempos!" Ok, mas agora passa a legitimar seus atos, em uma política em que, ou você concorda ou está praticamente fora da Internet. Precisamos de figuras que também defendam nossa privacidade no Congresso. Pense, e veja se não é hora de exigir de nossos Congressistas maior atenção a estes temas e aos nossos direitos.
Aliás, para nós, nossos direitos, para o Google, "idéias erradas". Pense bem antes de colocar seus dados nesta teia. Ou realmente você acredita que oferecer lembretes de sua reunião é mais importe do que seus dados e seu sagrado direito à privacidade?
Continue achando que o que é de graça não se questiona. Não há nada de graça, o preço de tudo isso são seus dados pessoais, o rastreamento da sua vida. Em síntese, como bem disse Jeff Chester, um cão de guarda da privacidade, Diretor do Centro de Democracia Digital, a partir de primeiro de março, receberemos uma "camisa de força digital", forçados a compartilhar informações pessoais, sem defesa.
Até quando a destruição de nosso direito à privacidade será coberto pelo falso manto da "otimização da experiência do usuário"? Não queremos novas experiências impostas, mas liberdade para construí-las, quando bem nos convier.
José Antonio Milagre é Advogado e Perito especializado em Segurança da Informação. E-mail: jose.milagre@legaltech.com.br- Twitter: http://www.twitter.com/periciadigital
Post publicado em 03 de Fevereiro de 2012 | 13:40h
Nosso colunista analisa os impactos do projeto de lei americano na vida do brasileiro, que acessa a internet
Que a SOPA (projeto de lei antipirataria norte-americano) é repugnante, merecedora de toda a discussão midiática e mais soa uma daquelas cartas expedidas pelo ‘Rei’ das bandas do império não resta a menor dúvida. Especula-se sobre o chamado "apagão digital" onde algumas das maiores empresas de tencologia, usadas por milhões de pessoas, planejariam um "boicote à web", em protesto contra a legislação.
Não só o texto inibidor da lei mas a forma como os protestos estão sendo coordenados são merecedores de algumas considerações. O que mais tenho ouvido é: "Isso não é problema nosso, os Estados Unidos nunca nos apoiaram na militância cibernética para aprovar projetos tão importantes para o Brasil, como Lei de Proteção de Dados Pessoais e Marco Civil, tampouco para combater aberrações como o PL de Crimes de Informática. Nem um tweet. Por que deveríamos ajuda-los?"
Primeiro, parece óbvio mas a venda insiste em não sair dos olhos. Quantos serviços hoje utilizados por brasileiros são oferecidos por empresas americanas? Sim, não precisamos nem citar, de hospedagem a microblogs. Onde estão hospedados os maiores repositórios de informação do planeta? Estamos tecnologicamente vinculados, e sem escolha.
Na Internet, esqueça jurisdição ou competência legislativa. Uma lei como a SOPA, aprovada nos Estados Unidos, pode alterar completamente a vida das pessoas no Brasil, tornando mais onerosa a Internet, mais limitada, censurada e menos informativa.
Segundo, temos uma espécie de "vigência indireta" das leis americanas no Brasil. Isso mesmo, processe o Google e veja quais leis ele usa em sua defesa, além de citar legislação nacional? Experimente lidar judicialmente com qualquer gigante de TI com filial no Brasil, e prepare-se para ser forçado a conhecer o direito comparado. A influencia é tremenda. A argumentação é a mesma: "Como estamos sob a égide das leis americanas, devemos respeitá-la, ainda que usuários sejam do Brasil".
Agora imagine a SOPA em vigor?
Terceiro, parcela de nosso poder legislativo tem afeição por copiar modelos vigilantistas, autoritários de outros países. Comece a ler a justificativa dos projetos de Lei em trâmite no Brasil que tentam "regulamentar" tecnologia e Internet. É sempre a mesma linha: Na Europa, já temos a lei...Nos Estados Unidos, já temos a lei...Precisamos aqui, estamos atrasados!!!
Agora imagine a SOPA em vigor?
Já quanto ao apagão digital, temos também que tirar uma lição. Sim, eles podem. Para defender suas causas não se importam, não hesitam em ameaçar suspender serviços que milhares de pessoas no mundo utilizam, como se o mundo tivesse dado uma procuração para eles da espécie "pode tirar do ar, eu aceito perder negócios, clientes, serviços por esta causa...". Realmente, balançar o mundo pode ser uma ótima estratégia para convencer velhos congressistas sobre o Poder da Internet. Mas um blackout global seria necessário? Foram analisados os riscos aos usuários? Outros meios de protesto teriam eficiência parecida?
E no Brasil, o que tiraríamos do ar? Um site de leilões ou de compras coletivas? Pensando bem, não temos armamento digital algum.
Sim, eles podem.
E por aqui? Temos problemas legislativos semelhantes aqui, projetos que dão direito ao notice and take down, fechamento de sites, outros que criam os "provedores juizes". No entanto, lá estamos nós, brasileiros, seguindo, seguindo, somos seguidores, conduzidos, discutindo e protestando somente contra a SOPA sem aproveitarmos o momento para mobilizarmos contra os abusivos projetos de lei no país ou ao menos exigir reciprocidade nas mobilizações virtuais.
Protestamos contra o SOPA, PIPA, mas esquecemos dos nossos problemas. Protestamos contra o SOPA, PIPA, mas não fazemos o dever de casa. Somos um dos maiores consumidores de serviços digitais dos norte-americanos. Poderiam fazer um apagão para as nossas causas?
Se ainda não é possível afirmar que os blackouts serão eficientes (primeiro grande teste das empresas do Vale do Silício), pois não se pode imaginar tirar portais deste porte do ar, sem pensar nos prejuízos cavalares e contratos, por outro lado mais uma vez o episódio demonstra a força do hackativismo, atacando diretamente sites envolvidos com a SOPA e PIPA, usando os recursos que possuem para, efetivamente, serem ouvidos em um processo democrático, que a realidade lhes mostrou, está longe de ser perfeito.
Que a era da maturidade política digital venha para ficar, mas que tenhamos o mesmo vigor e mobilização que temos para defender as causas globais, também para defender as nossas!
Já se encontra no TSE a minuta para as regras da propaganda na Internet 2012
Em breve, serão abertos os testes aos sistemas usados pelo TSE ou encomendados pelo órgão para as eleições 2012. É neste momento que partidos, autoridades e OAB podem auditar os sistemas em ambientes controlados, já neste momento agindo por meio de técnicos e peritos para garantir a maior integridade possível dos exames. Após esta fase, tem-se a cerimônia de assinatura digital e lacração dos sistemas. Em todas as fases, partidos, autoridades e OAB necessitarão de profissionais técnicos, peritos para acompanhar a compilação dos sistemas e checar assinatura dos códigos fonte (geração dos hashes).
Embora mantenha a base de 2010, algumas modificações carecem de novas análises, para que os políticos possam realizar uma efetiva campanha na Internet, porém, evitando multas e punições por excessos ou denúncias de concorrentes. Buscar falhas no uso da rede por outro candidato certamente será uma estratégia de desestabilização de campanha. Peritos e profissionais de conformidade poderão auxiliar exatamente no compliance, evitando transgressões e denúncias às autoridades.
Pelas regras, um site hospedado em local inadequado pode gerar punições. Qualquer manifestação de propaganda antes de 5 julho também pode ser rastreada e denunciada ao TSE, que deverá aplicar punição. Igualmente, o anonimato na rede fica vedado pelas normas, e o pior, o candidato beneficiário das manifestações anônimas pode ser punido, se não tiver como provar que não concordou, consentiu ou permitiu as mesmas. Daí a importância da auditoria contínua em período eleitoral, envolvendo as opiniões e manifestações na rede a respeito de um candidato.
A venda de cadastro de e-mails e sua utilização continua vedada. Candidatos deverão responsabilizar contratualmente empresas de marketing político para casos de uso indevido de e-mails que possam prejudicar o trabalho eleitoral. Muitas vezes o candidato mal sabe que a empresa contratada para mail marketing usa uma base comprada. A revisão de contratos com empresas de marketing digital é pauta relevante e pode caracterizar ausência de má-fé do candidato em caso da constatação de um incidente.
O mesmo vale para e-mails não solicitados, em que candidatos pagarão multa por mensagem não solicitada denunciada ao TSE. Ocorre que agentes de má-fé poderão criar fakes e remeter e-mails a pessoas em nome de outros candidatos (como hoje temos com o phishing scam, só que aqui, com o objetivo de criar obrigação a determinado candidato ou coligação). Tais posturas poderão ser investigadas na rede e constatadas, relatadas em laudo técnico, apurando-se a real autoria das mensagens, onde caberá denúncia ao TSE que deverá punir os violadores, em multa de até 30 mil reais.
Como se percebe, cabe aos candidatos muito cuidado com as "ações" dos marketeiros digitais que já começaram sua prospecções, muitas vezes preocupados em impressionar e gerar buzz, pouco se importando com os excessos e com a conformidade com a legislação, que estabelece as regras para o uso da tecnologia da informação nas propagandas eleitorais.
Mais do que marcar presença na rede, monitorar manifestações e a atuação de concorrentes, pautando-as à luz da legislação, será a pedra de toque que fará a diferença nas eleições que se anunciam. Partidos, coligações, executivas e candidatos deverão estar assessorados por especialistas para que possam validar e homologar campanhas na Internet desenvolvidas por marketeiros, bem como para que tenham condições de comprovar tecnicamente transgressões à legislação ou mesmo falhas, erros ou posturas em sistemas de informações que possam lhes prejudicar na batalha eleitoral.
José Antonio Milagre é Perito e Advogado especializado em Direito Digital
Autoridades sempre buscaram formas legais para obtenção de dados de usuários em provedores de serviços de Internet e telecomunicações sem autorização ou mandado judicial. Enquanto, no Brasil, a jurisprudência for pacífica na indispensabilidade de ordem judicial (pela inafastabilidade do poder judiciário), teremos "escoteiros" reconhecendo a validade de quebras de sigilo e privacidade sem autorização, porém que foram reformados em nossos tribunais de segunda instância.
A despeito de termos uma Lei (9.296/1996) que criminaliza a interceptação telemática não autorizada por autoridade judiciária, fato é que hoje o cidadão não tem no Brasil garantia alguma em relação à disponibilidade de seus dados armazenados em serviços e provedores de Internet. Embora a intimidade e vida privada sejam garantias constitucionais, além da constituição, no plano infraconstitucional, nada temos em termos de leis que efetivamente contribuam ou operacionalizem as garantias da lei maior.
Resultado: somos um dos primeiros nos números do Google em termos de quebras judiciais e pedidos de remoção de conteúdo na Internet, parte deste número cabível às autoridades policiais que de longe pedem mais dados aos provedores do que autoridades de muitos outros países. Sem critérios ou princípios de privacidade, fica fácil obter ordens e mais ordens de quebra de sigilo informático no Brasil. Temos no Brasil uma banalização de interceptação de e-mail, tráfego, voz, dados de geolocalização e até mesmo dados de voz sobre IP. Muitas devassas à privacidade concebidas com base em achismos, desprovidas de quaisquer critérios atinentes ao fumus boni iuris, indícios de autoria, etc.
Efetivamente, sob o estranho manto da "segurança", cidadãos têm sua privacidade violada e compartilhada por pessoas sem qualquer fundamento legal, suspeita, inquérito ou reais indícios. Não bastasse, de todos os lados que se possa cogitar, continuam as pressões para que a obtenção de dados de diversas fontes seja feita diretamente e sem um mandado ou mesmo que a privacidade na rede seja relativizada.
Em proposta para o Marco Civil da Internet Brasileira, disponível para consulta a todos os Internautas, a Polícia Federal, em relação ao parágrafo único do art 8o., que garante aos usuários da Internet a livre opção por medidas de segurança direcionadas a salvaguardar a proteção de dados pessoais e o sigilo das comunicações, assim sugere “O parágrafo único do artigo 8.º deve ser excluído porque quando permite o uso indiscriminado de chaves criptográficas elimina o PODER/DEVER DO ESTADO de CONHECER O CONTEÚDO DE COMUNICAÇÕES para fins de INVESTIGAÇÃO CRIMINAL E INSTRUÇÃO PROCESSUAL PENAL, conforme preceitua o inciso XII do Artigo 5.º da Constituição Federal ou substituído pela seguinte redação: Parágrafo único: O exercício do direito à privacidade e à liberdade de expressão autoriza aos usuários da Internet a livre opção por medidas de segurança direcionadas a salvaguardar a proteção de dados pessoais e o sigilo das comunicações, nos termos e nos limites da regulamentação”. (http://culturadigital.br/marcocivil/2010/05/31/contribuicao-da-policia-federal-para-o-marco-civil-da-internet/)
Em mais uma investida, recentemente, fora aprovada na Câmara dos Deputados projeto de Lei (3443/2008) que ampliou o conceito de crime de lavagem de dinheiro, alterando a Lei 9.613. Mais uma vez aqui, na redação do governo, Ministério Público e polícia teriam acesso, sem autorização, a dados mantidos pela Justiça eleitoral e pelas empresas telefônicas, entre outros, de investigados. Para aprovação ao projeto, porém, o Governo teve de ceder e retirar do texto tal disposição.
A questão envolvendo discussões sobre coleta de dados sem ordem judicial não é um problema do Brasil e se agrava com o cloud computing. Nos Estados Unidos, projeto do Senador Patrick Leahy pretende garantir maior privacidade aos norte-americanos. O Projeto almeja atualizar as leis de privacidade local, especificamente, o Eletronic Communications Privacy Act (ECPA), concebido há 25 anos, onde não se poderia imaginar a existência de cloud computing. Segundo a ultrapassada legislação americana, polícia e órgãos do governo poderiam obter e-mails e demais dados armazenados em provedor de serviços, sem citar motivos ou sem autorização judicial, desde que os dados estivessem no servidor, esquecidos por seus titulares ou por qualquer motivo não baixados, por 180 dias ou mais.
Quando o ECPA entrou em vigor, poucos dados eram mantidos em servidores ou nas nuvens, considerando que tais discos armazenavam temporariamente mensagens que logo eram baixadas para os computadores dos destinatários. Logo, tal permissivo legal, autorizando acesso a informações pessoais sem uma ordem judicial, desde que armazenado nos servidores por 180 dias ou mais, não constituía um risco empírico à privacidade dos cidadãos.
Não constituía. Hoje porém com a difusão do cloud computing, dados, e-mails, arquivos e outras informações tendem a ficar armazenados em servidores dos provedores de serviços, sendo o download para os computadores pessoais relegado à exceção. Para isso, o projeto Leahy pretende garantir a privacidade de usuários nos serviços cloud, como DropBox, storage accounts ou Google Docs. Segundo o projeto norte-americano, a obtenção de qualquer dado em cloud, por parte de autoridades governamentais, também imprescindirá de um mandado judicial válido. Embora o projeto seja excepcional, também vem encontrando resistência de parcela dos Congressistas.
Por aqui, inexiste uma Lei que proteja os cidadãos de coletas não autorizadas. Neste cenário, o controle dos abusos e violações à privacidade vem sendo exercido pelo Judiciário com fulcro na Constituição Federal. Em 2009, decisão da 26a Vara Cível da comarca do Rio de Janeiro, permitiu ao Ministério Público e Polícia Civil receberem informações sem prévia autorização judicial, especificamente a dados da comunidade de relacionamento Orkut.
Porém, em sede de recurso extraordinário, o Google, no Supremo Tribunal Federal, conseguiu fazer com que a decisão ficasse praticamente suspensa, até julgamento pelo Tribunal competente, em cautelar deferida pelo Min. Gilmar Mendes, que se manifestou pela importância da privacidade e da quebra, sempre precedida de ordem judicial. O processo permanece em andamento no STF (AC 2265), porém tende a ratificar a cautelar deferida, desconstituindo por derradeiro decisão judicial que autorizava obtenção de dados de usuários de Internet sem mandado.
A ausência de uma lei que claramente preveja a proteção do cidadão em face da informática, e assegure critérios de privacidade para que magistrados possam delimitar pertinência e profundidade de requerimentos de quebras de sigilo informático, é fator que vem motivando interpretações errôneas e abusos por autoridades e empresas responsáveis pelos dados, que em questão de clicks conseguem desprezar a seara privada de pessoas, desrespeitando princípios de necessidade e adequação, valendo-se da "técnica", sem que cidadãos tenham recursos hábeis a provar as investidas ilícitas ou abusivas, com monitoramentos indevidos, e responsabilizar os agressores. Medidas que ofereçam recursos ao cidadão devem ser tomadas. Conceber a coleta de dados pessoais na Internet desprezando o crivo judicial é, em nosso sentir, uma grave ofensa à Constituição Federal.
Permitimo-nos sugerir uma garantia ao cidadão, já assegurada aos mesmos em casos de buscas pessoais, no art. 247 do Código de Processo Penal. Pelo teor da disposição mencionada, não sendo encontrada a pessoa ou coisa procurada, os motivos da busca pessoal podem ser comunicados a quem tiver sofrido a busca, se o requerer. Tal disposição poderia ser garantida ao cidadão em casos evolvendo internet, monitoramentos e coletas de dados informáticos por autoridades. Não encontrando nada, autoridades deveriam comunicar o cidadão informando data, período da atuação e os motivos que ensejaram o monitoramento ou coleta de informações de servidores relativas ao usuário. Com esta simples medida, quebras arbitrárias seriam reduzidas e o cidadão de bem saberia quando e por quantas vezes foi investigado na rede.
Cabe às autoridades buscarem amparo legal que lhes ofereçam mecanismos investigatórios eficazes, e que ao mesmo tempo não sejam invasivos ou violadores de direitos, como no caso do PL 1404/2011, em trâmite no Congresso, que permitirá, sempre com ordem judicial, a infiltração de agentes na Internet para investigar crimes contra a liberdade sexual de criança ou adolescente.
Cabe ao cidadão discernimento para dimensionar a importância de sua privacidade e a facilidade do extermínio a este direito, graças aos bits somados a pessoas má intencionadas, desde já, cooperando urgentemente para concepção da Lei Brasileira de proteção a dados pessoais, cujo anteprojeto pode ser debatido por todos os brasileiros na Internet, que além de reforçar a indispensabilidade de ordem judicial para obtenção de dados de cidadãos na Internet, oferecerá princípios e métricas para que magistrados tenham nítidas condições de negar requerimentos infundados, abusivos ou desproporcionais, além de instrumentos para que o cidadão lesado possa buscar a reparação do dano sofrido.
Qual o impacto da Internet na relação entre os estados? Como está a disputa pelo ICMS gerado nas transações interestaduais?
Está sendo fomentada no Congresso Nacional a criação de Audiências Públicas nos estados sobre a Reforma Tributária. Dentre os principais temas discutidos está o e-commerce, e o impacto da Internet na relação entre os estados.
Atualmente, a Subcomissão Permanente de Assuntos Federativos, da Comissão de Finanças e Tributação, pretende propor às Fazendas Estaduais das cinco regiões brasileiras e à própria Receita Federal, que parte do ICMS gerado por compras na Internet fique no estado do comprador.
Segundo a comissão, haveria um credenciamento dos estados de origem e, por meio da Nota Fiscal Eletrônica, quando houver a compra, fica estabelecido um percentual para o estado consumidor. A principio, tal proposição pode virar uma PEC (emenda constitucional).
Fato é que hoje, estados destinatários vêm desrespeitando a Constitução Federal, sob o manto de pensarem a atual legislação "injusta". Muitos estados brasileiros assinaram o Protocolo ICMS 21, de 1o. de abril de 2011, que estabelece a cobrança de ICMS sobre a operação interestadual nas compras realizadas pela Internet, regulamentando a matéria em decretos estaduais, para cobrarem o imposto na entrada da mercadoria, sem qualquer amparo legal.
Na grande maioria dos estados a sistemática é: o contribuinte da mercadoria (proprietário do e-commerce), na condição de substituto tributário ao consumidor da mercadoria, já deverá escriturar, reter e recolher em favor do estado do consumidor final, parcela do ICMS.
Estamos diante de flagrante inconstitucionalidade. O Artigo 155, parágrafo 2o., inciso VII, aliena "b", é claro, ao prever que o ICMS em relação às operações e prestações que destinem bens e serviços a consumidor final localizado em outro estado, terá a adoção da alíquota interna, quando o destinatário não for contribuinte dele (como no caso dos consumidores digitais, que compram bens para uso e não para mercancia).
Ademais, cumpre destacar que o STF em julgamento da Ação Direta de Inconstitucionalidade (Adin) 4.565, já revogou eficácia de legislação estadual que estabelecia a cobrança de ICMS por estado do consumidor, nas compras pela Internet, zelando e mantendo as disposições constitucionais.
A beligerância fiscal não tem limites. E a verdade seja dita: Os maiores vitimados por guerras fiscais como a presente é, sem duvida alguma, o cidadão e o empreendedor digital, que poderá sofrer uma bitributação escandalosa. Que a sociedade civil, jovens, consumidores e empreendedores possam conhecer a temática, e exigir respeito à Constituição Brasileira.
A quem interessa engessar o e-commerce, tornando-o mais caro e oneroso? Pense nisso.
A Internet rompe qualquer barreira e faz com que profissionais a quilômetros de distância tenham o mesmo rendimento do alocado na empresa
Onde está o meu emprego, com tanta demanda de mão de obra especializada em tecnologia da informação? Realmente, esta questão faz parte do cotidiano de muitos profissionais disponíveis no mercado. O Brasil vive um “apagão” de mão de obra especializada em TI para dar conta da demanda interna, e a situação tende a se agravar com eventos como Olimpíadas e Copa do Mundo.
Segundo a FGV, até 2014 teremos um déficit de 800 mil vagas no setor. Estima-se que hoje, 92 mil vagas de tecnologia da informação estejam disponíveis. No entanto, basta sair ao mercado para ver profissionais formados desempregados ou trabalhando em áreas completamente distintas da de formação. Pior, apenas 15% dos alunos que iniciam cursos de tecnologia da informação terminam as graduações.
Todo este cenário vai na contra-mão do crescimento brasileiro em TI. Segundo o IDC, o Brasil deverá crescer 13% na área de Tecnologia da Informação em 2011 superando taxas como Estados Unidos e Canadá. Nem mesmo os incentivos fiscais sobre a folha de pagamento das empresas de tecnologia da informação, recentemente anunciados pelo Governo, atenuaram ou minimizaram este cenário.
A culpa é de quem?
Evidentemente, estamos vivenciando um gargalo educacional. Faculdades e mais faculdades de TI, despreparadas e com professores sem qualquer especialização, despejando profissionais e formando-os em conteúdos que há muitos anos não são mais necessários para as empresas. Resultado: baixíssima qualificação. E o que isto gera? Altos salários para os mais qualificados, que estão voltando do exterior para assumirem cargos de TI no Brasil, vaga que poderia ser a sua.
Apreendemos hoje uma notória obsolescência de parte do conteúdo programático de muitas faculdades de tecnologia do Brasil. Sem programas de incentivo, qualificação, inovação tecnológica ou parceria com empresas de TI, profissionais são despejados no mercado e não despertam o interesse das empresas. As certificações passam a ter mais relevância que a formação universitária e demandam investimentos que muitos jovens não têm como empregar, algo que também poderia ser parcialmente subsidiado pelo Governo.
Grandes empresas de software e integração também são muito tímidas em abrirem seus programas educacionais para universidades, esbarrando sempre em análises de risco pouco lúcidas, fazendo com que pouquíssimos tenham acesso a tais programas, ferramentas e conhecimentos.
Não bastasse, a péssima estrutura de empresas de recrutamento e seleção para atuarem na área de TI também emperra as contratações. Sem conhecer a fundo o core business de seus clientes, "inventam" exigências mais que inatingíveis além de absolutamente desnecessárias para os cargos disponíveis. A TI só precisa suportar o negócio, não fazer "milagres".
Não podemos deixar de consignar parcela de culpa aos empreendedores, que, apesar de atuarem com Internet, tecnologia e mundo globalizado, ainda mantêm e preferem meios ortodoxos de trabalho, sem ousarem novas possibilidades. Buscam profissionais que residam apenas nas capitais (de preferência próximos à empresa), esquecendo-se que o teletrabalho é uma realidade, e que grandes multinacionais já mantêm equipes de service desk em TI espalhadas pelo Globo. Buscam profissionais na mesma fonte, e esta fonte está seca!
Vivemos a interiorização do desenvolvimento tecnológico. A China já despertou para este fato. Regiões ricas como o interior de São Paulo possuem infra-estrtura, ótimas universidades, excelentes profissionais, qualidade de vida, incentivos fiscais, custos e mão-de-obra em TI mais barata que na capital. O empreendedor precisa pensar em "crescer para dentro"! Muitas são as empresas que já criam centros de tecnologia no Interior e atendem todo o Brasil e exterior a partir destas localidades. As universidades interioranas também são mais suscetíveis às parcerias que formem profissionais "com a mentalidade" das empresas de TI que demandam serviços.
Como resultado, desenvolvimento regional, sustentabilidade, redução das desigualdades sociais, distribuição de riquezas, menores custos de implantação e operação e mais pessoas na folha de pagamento. A lei é simples. Se a "procura" está alta nas capitais, por que não buscar vagas em regiões onde a "oferta" é alta, como no interior? A Internet rompe qualquer barreira e faz com que profissionais a 300 quilômetros de distância tenham o mesmo rendimento de um alocado na sede da empresa.
Mas você pode estar pensando: Contratar a mão-de -obra do interior nem sempre significa resolver definitivamente o problema da falta de qualificação!
Realmente, o problema da falta de qualificação é nacional, e para isso só existe um remédio: Qualificar-se! O que o coordenador do seu curso tem feito para isso? O conteúdo do seu curso está adequado à realidade lá de fora? Quais as parcerias para integração universidade-mercado existentes em sua faculdade? Você já leu o programa de todo o seu curso? Você sabe que ele existe? Você pode, com vontade, construir o seu curso de modo que mais espelhe as necessidades do mercado e isto é fundamental, a menos que você tenha dinheiro para trocar de faculdade ou tirar certificações caríssimas!
Mudar este cenário de carência de mão-de-obra é uma tarefa possível, mas dependerá da ação coordenada de universidades, empresas de recrutamento, empreendedores, universitários e profissionais no mercado. Do contrário, continuaremos importando mão-de-obra e colocando dinheiro em estrangeiros. O Brasil só tem a perder!
Uma das boas oportunidades para conhecer melhor o mercado de TI é participar do evento TechInter 2011 - uma conferência focada em mercado, empreendedorismo, novas oportunidades em tecnologia da informação. Mais informações podem ser conferidas em breve, aqui no Olhar Digital.
José Antonio Milagre é Perito e Advogado especializado em Direito Digital Twitter: http://www.twitter.com/periciadigital E-mail jose.milagre@legaltech.com.br
Garantir a privacidade na rede nem sempre é tarefa fácil. Por mais que sejamos expostos a centenas de aplicações e técnicas que prometem mascarar ou ocultar nossa conexão, nunca é possível afirmar que um serviço ou software é completamente seguro. Um dos grandes celeumas da atualidade cibernética está na identificação de usuários na rede. Por mais que a interação entre um anônimo e um serviço web seja problemática, é fato que esta interação sempre permitirá a captação de certos dados relativos a tal usuário, incluindo, mas não se limitando a número IP, data e hora da conexão. Também é possível coletar dados que poderiam revelar, em um segundo momento, a autoria de posts, frases, difamação, violação de sigilo, contrafação dentre outros delitos praticados na rede.
Usuários comuns podem não saber, mas servidores web podem registrar cabeçalhos HTTP transmitidos pelo próprio navegador utilizado ou servidor. Um cabeçalho http, por exemplo o X-Forwarded-For, é responsável pela identificacao do IP de origem de uma conexão http, sendo suportado pelos principais servidores web do mundo. Já um cabeçalho HTTP referrer permite identificar a URL de origem do usuário que acessa determinado site (url prévia), normalmente utilizado para combater ataques "cross-site request forgery", mas que por outro lado expõe a privacidade de indivíduos. Algumas técnicas de "dereferrer" hoje são utilizadas para ocultar estas informações. Mas será que todos têm acesso e sabem utilizá-las?
Fato é que, dificilmente uma manifestação na web passa completamente despercebida por servidores, appliances, proxies dentre outros recursos, que sempre registrarão algo sobre a postagem. Um e-mail registra informações de origem do usuário, uma postagem em blog também crava informações no serviço utilizado, sendo que o mesmo vale para redes sociais. Estamos a todo instante e involuntariamente, cedendo a serviços web informações que se não nos identificam, pelo menos nos tornam identificáveis, se correlacionarmos tais dados com outras fontes de informações.
Para garantir que uma informação ou manifestação seja divulgada sem qualquer indício da fonte, crackers (Como o LulzSec) têm utilizado serviços "Recorte e Cole" como Pastebin, Pastie, Paste2, Codepad, FrubarPaste, YourPaste, LodgeIt, Slexy.org ou Gist. Em tais serviços, o usuário não precisa se logar ou oferece o mínimo de informações possíveis e já pode colar informações (compartilhar textos) sem se preocupar com cadastros, fornecimento de e-mails, metadados e outros detalhes que podem fazer com que sua autoria seja revelada.
Os serviços, que a principio deveriam ser utilizados para a colagem colaborativa de códigos-fonte de programação, passaram a ser usados por crackers para divulgar dados pessoais extraídos de suas invasões ou mesmo manifestos, exploits, links de sites com vulnerabilidades e ferramentas para práticas criminosas. Não bastasse, passaram ainda a serem utilizados para manifestações de intolerância e difamação. Em tais sites, podemos encontrar desde chats onde os protagonistas se vangloriam por terem ficado com a mesma garota a manifestações envolvendo preconceito etário e outras formas de preconceito, passando por difamação, desabafos acalorados contra chefes e patrões, dentre outros, tudo disponível ao mundo e com possibilidade de ser ranqueado pelo serviço (trends).
Estamos diante de uma grande "lousa digital", que se esforça para manter em segredo os que nela rabiscam. Com outras ferramentas, é possível, ainda, encaminhar diretamente do chat IRC textos ao Pastebin.com (um dos serviços mais utilizados no Brasil) ou mesmo instalar a versão desktop para rodar diretamente do computador, sem a necessidade de acessar o site. Para escrever, pode-se registrar no sistema ou utilizar o mecanismo como "Guest", sem qualquer login e aqui temos um complicador, uma difamação praticada por um "Guest" não pode ser deletada, nem mesmo pelo próprio "Guest", não havendo direito ao arrependimento. Para remoção, somente entrando em contato com o "reportar abuso" do site e aguardar...
Embora os serviços "paste tools" se comprometam com a privacidade de usuários, não significa dizer que não coletem informações sobre os mesmos. Os termos de privacidade do Pastebin.com, ao contrário do que muitos pensam, são claros ao prever que o portal trabalha com arquivos de logs que registram informações como endereço IP, tipo do navegador, provedor de acesso responsável, hora e data, referring e exit pages, dentre outras informações. O serviço Pastie também não oferece garantias de privacidade. De modo que o anomimato não é amplo e absoluto nestes serviços.
Não se pretende de forma alguma criminalizar sites desta natureza, que têm um papel importantíssimo na difusão ágil do conhecimento e na liberdade da expressão. Assim como em sites como o Pastebin, maus usos existem em qualquer serviço disponível na Internet. O problema não são os serviços que asseguram a privacidade, mas sim o que fazemos com eles. Não é demais lembrar que a Constituição Federal Brasileira garante a liberdade de expressão, mas veda o anonimato. E o uso de ferramentas criadas para uma finalidade nobre, com intentos perniciosos e difamatórios, pode ser repreendido pela Justiça. O Pastebin e outros sites populares são claros em seus alertas a usuários para o uso legal dos sistemas e, principalmente, que respondem às "takedown notices" (pedidos de remoção), se comprovadamente existir atos ofensivos ou violação da privacidade.
Ainda, peritos digitais e profissionais de segurança já utilizam a mineração destes sites de compartilhamento de textos para antecipar ataques previstos ou mesmo detectar testes de intrusão ou footprinting realizados em redes ou sistemas informatizados específicos. De fato, se a ferramenta favorece os crackers, também pode favorecer pesquisadores e hackers na blindagem de sistemas ou no aprimoramento da segurança da informação em condutas pró-ativas. Além do Google, o Pastebin Scraper é uma ferramenta que permite copiar informações do site e pode ser útil para blindagem de segurança e testes de intrusão. Pode ser baixado aqui.
Igualmente, outro serviço útil é o Pastebin Parser, que permite aos usuários buscar por termos ou pelo próprio nome ou empresa nos principais sites de compartilhamento de textos existentes. O serviço pode ser acessado aqui. Para quem prefere o Google, uma solução pode ser a expressão "dadoaprocurar site:pastebin.com"
Estes sites não estão acima da lei, e com certeza não pensarão duas vezes em fornecer informações de autores de uma difamação ou ofensa publicada em seus serviços, se compelidos judicialmente a tanto, para que não sejam condenados por favorecerem práticas criminosas. Portanto, pense bem antes de ser influenciado a escrever pela promessa de anonimato alardeada por tais serviços. Um simples "colar" pode trazer sérias implicações legais.
Links interessantes:
[1] Pastebin: How a popular code-sharing site became the ultimate hacker hangout: http://thenextweb.com/socialmedia/2011/06/05/pastebin-how-a-popular-code-sharing-site-became-the-ultimate-hacker-hangout/
[2] The Using of Pastebin for Sharing Stolen Data: http://blog.zeltser.com/post/7033873645/pastebin-used-for-sharing-stolen-data
[4] The dangers of Pastebin sites http://www.reversecurity.com/2011/05/dangers-of-pastebin-sites.html
[5] Caso Judicial envolvendo Pastebin - Distrito de Georgia Atlanta Division USA http://attrition.org/errata/charlatan/gregory_evans/ligatt23/doe-d8.pdf
Caso esteja insatisfeito, acione-os na Justiça e também na rede. Você, consumidor, tem voz ativa!
Os sites de compras coletivas, populares há pouco mais de um ano, inovaram o cenário do e-commerce brasileiro, trazendo uma novíssima técnica para a Internet, porém, que aplica velhos conceitos de negócios sob demanda. Os sites prometem descontos até então inimagináveis para produtos e serviços, desde que um número mínimo de "cupons" ou "pedidos" para determinado item seja vendido. Temos hoje aproximadamente 1200 sites de compras coletivas no Brasil, segundo a consultoria e-bit.
O problema é que inúmeras questões jurídicas até então impensadas passam a ecoar com a popularização destes sites. Se um fornecedor desiste da oferta, será o site de compras que se entenderá com ele na justiça. Porém o site está vinculado à sua "proposta" para com o consumidor, esta que equivale à chamada "oferta pública", devendo ser responsável em face do usuário pela negativa do ofertante em atender um cupom. Foi o que aconteceu no Rio de Janeiro, onde um consumidor consegiu um cupom de desconto e ao chegar em uma pizzaria, viu seu cupom recusado pelo comércio.
O consumidor processou o site de compras coletivas, que foi condenado pela 2a. Vara do Juizado Especial Cível do Rio de Janeiro, a indenizar por danos morais e materiais, no processo número 0014300-76.2011.8.19.0001.
Outros casos estão sendo levados à Justiça, dentre os quais alguns referentes a propaganda enganosa, recusa no cumprimento da proposta pelo site, e a indisponibilidade do site no exato momento da aceitação da proposta. Sites que "saem" do ar ou não "registram" as ofertas dos consumidores estão violando o Código de Defesa do Consumidor. Pelo Código Civil, nas compras entre "ausentes", o contrato reputa-se formado com a aceitação do consumidor. Para esta aceitação, adota-se a teoria da agnição por expedição, ou seja, o contrato estará formado quando o consumidor manifesta, expede, envia sua aceitação, pouco importando se o lojista não tomou ciência ou mesmo se não recebeu o registro da compra.
A propaganda é vinculada àquele que a realiza, e anúncios de 90% de desconto deverão ser honrados. E como provar exatamente a data do envio da aceitação, para processos na Justiça, considerando que o site pode alegar que revogou a proposta antes da aceitação?
São questões técnicas que cada vez mais demandarão a atuação de peritos para auxiliarem consumidores em juízo. O site que, por problemas na operação, não entrega o produto, mas debita do consumidor o precitado valor, evidentemente não pode se safar do dever de reparar, por argumentos técnicos de pouca compreensão para a maioria dos Juízes de direito.
Do mesmo modo, aqueles que têm dados indevidos utilizados em sites, com consequente cobrança indevida ou negativação do nome, têm o direito de obtenção de reparação de danos pelo próprio site, que fora negligente na checagem e conferência dos dados fornecidos. Este é o entendimento majoritário dos Tribunais.
No ReclameAQUI, os sites de compras coletivas já colecionam mais de 20 mil reclamações nos últimos 12 meses. Um "boom"! Tamanha é a preocupação pelos danos causados por estes sites que no Congresso Nacional já tramita um Projeto de Lei (1232/2011) que irá prever novas regras para sites desta natureza. Os sites deverão oferecer Call Center e seguir normas de atendimento ao consumidor para operarem.
As empresas deverão ter escritório físico no Brasil, que deverão ser indicados aos consumidores no portal, facilitando notificações e citações. Os sites também deverão apresentar claramente, para cada oferta disposta no site, dados como quantidade mínima de compradores, prazo para utilização do cupom, dados do anunciante e regras para uso.
O mais importante é que, pelo Projeto de Lei, os sites deverão oferecer prazos para uso dos cupons de no mínimo 6 (seis) meses e nomeadamente; e deverão oferecer o reembolso ao consumidor, caso o número mínimo de cupons necessários para o desconto não seja atingido. Os sites ficam proibidos de enviar spam e, principalmente, o anunciante (loja ou prestador de serviços) agora tem responsabilidade solidária em conjunto com o site que vincular a oferta, em face do consumidor.
Trata-se de uma lei que aumenta as defesas do consumdior em face a tais sites. Em matérias técnicas, leis tornam-se obsoletas, e o consumidor deverá estar preparado para lidar com teses difícieis em juízo, contando com apoio de perícia especializada e mediadores virtuais que tornem as demandas menos complexas ao mesmo. Efetivamente, em um cenário onde o e-commerce deve crescer 30% em 2011 e faturar 20 bilhões, fato é que não serão as leis que controlarão estes sites que se multiplicam, mas efetivamente, os próprios consumidores com seus poderes de análise, recomendação e referências. Você, consumidor, tem voz ativa, procure sites auditados e conformes e, se não cumprirem com o acordado, não somente os acione na justiça, mas também faça questão de acioná-los na rede, comentando sua experiência. O resultado, será muito eficaz!
José Antonio Milagre é Advogado e Perito especializado em Segurança da Informação
O Grupo cracker LulzSec (“Rindo da Segurança”) está literalmente achincalhando com a segurança da informação de governos. Tendo como foco principal os Estados Unidos, vem apresentando ataques aparentemente “sem fundamentos políticos”, tendo “rescindido” com o grupo Anonymous em virtude desta nova característica “despretensiosa” do “e dái?”
O mais grave é que pessoas de má fé, no Brasil, trataram de manter contato com membros do tal Clã, e fundaram o que se chama de “suposta filial brasileira do grupo”, que já vem anunciado ataques a inúmeros sites governamentais e de comunicações. Pobre do governo brasileiro e de sua segurança se não passar a encarar a situação com maior tecnicismo e menos exibicionismo.
Ao que parece, o grupo age também orientado a “seguidores”, ou seja, prometem aos usuários de redes sociais que se alcançarem um número de seguidores, darão inicio à execução de um determinado ataque. Igualmente, transferem aos inexperientes usuários o direito de escolher se um ataque deve ser realizado ou não, como “Pilatos informáticos”. Seria esta uma forma de tentar “legitimar” suas atuações sujas e infundadas? Pedindo a opinião de usuários de redes sociais?
Recentemente, informações (ou desinformações) na Internet afirmaram que o LulzSec teria se unido ao Anonymous para uma suposta operação “Anti-Security” que focaria em órgãos do governo e instituições bancárias. O Brasil não ficaria de fora. Estaria a cyberguerra se transmudando em cyberterrorismo ou mesmo anarquismo digital? Estaria o LulzSec tentando danificar a imagem do grupo Anonymous, invadindo a privacidade de milhões de pessoas? Ou tudo não passaria de um grande boato da segurança informática?
Seja como for, mostrar o quão bancos e governo são frágeis seria uma motivação nobre para ataques que violam privacidade de inúmeros civis? Em nosso sentir, uma motivação abominável, se é que pode ser chamada de motivação. Onde está a militância e ideologia política por trás destes grupos? Evidentemente, evaporou-se. Não existe ativismo cibernético, mas nítida atuação criminosa e que demanda a urgente atuação de uma força de repressão internacional, bem como uma corte especializada, considerando a natureza transcontinental dos ataques. Infelizmente, falamos sobre tal necessidade há anos, mas parece que a orientação a eventos ainda é regra da segurança da informação mundial.
E quanto aos “kiddies” brasileiros querendo aparecer? Nítidos operários em busca de “sqli”, “dox” ou vulnerabilidades a mando de um “líder global”. O que mais nos preocupa é a influência negativa que estas pessoas podem sofrer do grupo, o que poderá causar um “estado de sítio virtual”, por conta de ações sem causa.
Imaginem jovens hackers brasileiros achando graça em ideologias encartadas nas seguintes frases: “Ver a foto do Facebook de alguém virar um pênis e assistir a resposta chocada da irmã da pessoa é impagável. Receber e-mails raivosos de um cara para o qual você acaba de enviar 10 vibradores porque ele não consegue garantir a segurança da senha do Amazon é impagável. Você acha engraçado ver a destruição se espalhando, e nós achamos engraçado causá-la. Nós divulgamos dados pessoais para que pessoas igualmente más possam nos entreter com o que eles fazem com isso.”
Infelizmente, conhecimento técnico não significa ética ou formação humanística e estes infantes podem se sentir importantes com uma missão similar a “roubar e vazar quaisquer informações classificadas como governamentais”, sem pensar nas consequências. Humor negro aliado a crackerismo resulta num cenário até então impensado pelos analisadores de risco, e que agora passa a ser critério indispensável de reflexão.
Para alguns, este cenário teria um ponto positivo: conscientizar finalmente as empresas e governo a se preocuparem com segurança, a ser vista como um processo e não como um produto, eis que todos estão ficando em estado de insegurança com as ameaças do grupo.
A nós, nada justifica esta forma de “conscientização”. As conseqüências para o grupo brasileiro que, via twitter (@lulzsecBrazil), vem divulgando os primeiros ataques a .govs podem ser diversas, de falso alarma a crime contra a administração pública, passando por punições envolvendo dano informático, interceptação telemática não autorizada, divulgação de segredo, quadrilha ou bando dentre outros tipos aplicáveis.
Agora, como identificar os protagonistas brasileiros? Apenas limito-me a transcrever o depoimento de um amigo hacker, hoje residente no Canadá e que integra um dos principais e mais respeitados grupos de pesquisadores na área: “Eu queria fazer algo para ajudar as autoridades e as pessoas a defender o patrimônio, mas não temos nenhum órgão centralizado de defesa, somente as polícias especializadas em crimes virtuais”.
Infelizmente, esta é a realidade, um jogo de ostentação onde Governo repudia qualquer ajuda privada ou mesmo a pune, e o resultado é um exército de civis e hackers pronto para atuarem em defesa da pátria, muitas vezes de graça, tendo de assistir de braços cruzados a guerra desigual entre poucos agentes governamentais e crackers com nítido maior conhecimento, ferramentas e tempo.
É hora de deixarmos o inchaço de lado e pensarmos em recrutamentos e parcerias privadas que possam fortalecer o espaço cibernético brasileiro, principalmente, oferecendo formação ética e humanística aos jovens, para que se tornem cyberdefensores, e possam resistir com firmeza aos apelos do crime eletrônico, não aderindo a atividades ilegais e tolas, como as propostas pelo LulzSec, que, infelizmente, foram capazes de persuardir um pequeno grupo brasileiro, que ainda não despertou que está sendo usado como marionete ou que suas virtudes seriam muito mais úteis do outro lado da corda.
Que a opinião pública saiba distinguir claramente que existem hackers éticos que não compactuam com a sujeira de criminosos inconseqüentes, que o Brasil reflita acerca da criação de um programa de cooperação com civis e acerca da criação de justiça/cortes especializadas em delitos tecnológicos e guerra informática, que as empresas aprendam que não mais precisam ser “más com o mundo” para serem vítimas de ataques informáticos e pensem, efetivamente, em segurança da informação.
Ocultação da autoria dos cibercrimes sempre foi estudada por bandidos cibernéticos, que desenvolveram técnicas que dificultam rastreamento
Foi-se o tempo em que o os criminosos digitais contavam apenas com servidores proxy ou web proxies para assegurar o anonimato de suas conexões, despistando investigadores forenses e tendo seus IPs de origem acobertados por servidores localizados em pontos geográficos quase que inacessíveis ou sem qualquer acordo com autoridades de outros países. Foi-se o tempo que um domínio internacional era o principal terror dos advogados de direito digital, quando precisavam identificar a autoria de uma ofensa na rede.
A ocultação da autoria dos crimes digitais sempre foi ponto de muito estudo pelos bandidos cibernéticos que, ao longo dos anos, desenvolveram técnicas anti-forenses capazes de, no mínimo, dificultar a rastreabilidade de suas condutas maliciosas.
Os crimes contra a honra ou que atentem contra direitos de imagem e privacidade na Internet e até mesmo spammers ganham agora um novo aliado técnico: os chamados “domínios por proxy”, também chamados de “domains by proxy” ou “private registrations”. O que é conhecido nos Estados Unidos há pelo menos dez anos aporta agora no Brasil, e vem sendo utilizado por criminosos para ocultar a autoria ou a titularidade de domínios na Internet.
Os “domínios por proxy” são serviços que nasceram, em tese, para proteger a privacidade de indivíduos, que, quando registravam domínios tinham dados pessoais e corporativos publicados, à disposição para fraudes e golpes. Via de regra, oferecem o chamado “WHOIS privacy service”, ou seja, permitem que quando alguém pretenda registrar um domínio internacional, tenha seus dados suprimidos ou trocados pelos dados do fornecedor do serviço, o que lhe assegura a “privacidade”, não sendo permitido que seus dados sejam consultados em pesquisas na Internet.
Resultado: crimes de calúnia, difamação, injuria e concorrência desleal sendo praticados via websites hospedados em provedores internacionais (COM, .NET, .ORG, .BIZ, & .INFO), acessíveis via domínios internacionais, e sem qualquer dado que possa apurar o criador ou responsável pelas páginas criminosas.
Um dos serviços mais antigos na rede é o “Domains by Proxy” (https://www.domainsbyproxy.com/) que tem até uma patente sobre o serviço, a U.S. Pat No. 7,130,878. O site, que trabalha com a hospedagem Godaddy.com, diz estar em conformidade com o ICANN (Internet Corporation for Assigned Names), órgão mundial responsável por estabelecer regras do uso da Internet.
De fato, o ICANN, responsável pela gestão de domínios, não veda expressamente esta atividade, mas esclarece em sua política o dever de cooperação com as autoridades e a responsabilidade dos registradores por atos de domínios de clientes o qual “emprestou” seus dados, a menos que identifique o real titular (http://www.melbourneit.com.au/policies/icann-policy), vejamos:
3.7.7.3 Any Registered Name Holder that intends to license use of a domain name to a third party is nonetheless the Registered Name Holder of record and is responsible for providing its own full contact information and for providing and updating accurate technical and administrative contact information adequate to facilitate timely resolution of any problems that arise in connection with the Registered Name. A Registered Name Holder licensing use of a Registered Name according to this provision shall accept liability for harm caused by wrongful use of the Registered Name, unless it promptly discloses the identity of the licensee to a party providing the Registered Name Holder reasonable evidence of actionable harm.
Segundo o site “Domains by Proxy”, é possível substituir as informações de whois do real titular de um domínio pelas do serviço, sendo igualmente viável até mesmo criar um e-mail privado, que só é direcionado ao criminoso se este autorizar, o que pode impedir e-mails isca para se apurar a autoria dos sites.
O site garante que a proteção da privacidade é o negócio da empresa e informa que somente em situações excepcionais revelará as informações do proprietário do domínio. Muitos usuários pensam que estão completamente anônimos com estes serviços, mas a maioria oferece suporte ao law enforcement (autoridades). Além disso, técnicas de descobrimento podem ser utilizadas para se chegar ao protegido pela camada do proxy.
Sob o prisma legal, nos Estados Unidos, em EUA v. Killbride (9 Cir., 2009) o júri entendeu que as máscaras que um domínio possui são consideradas falsificação material nos termos da US Federal anti-spam law (CAN-SPAM) (veja parecer interessante em http://www.spamtacular.com/2009/11/04/use-private-domain-registration-and-go-to-jail/) Por outro lado, em Paul McMann v. John Doe (http://www.internetlibrary.com/cases/lib_case451.cfm) a corte federal de Massachusetts negou quebra de sigilo de Domain by Proxy. A discussão é acalorada e longe de haver consenso.
No mesmo país, o polêmico Combating Online Infringement and Counterfeits Act (COICA), pretende garantir ao governo o direito de apreensão de domínios. O que poderá ser útil em casos de domínios ofensivos acobertados por proxies.
Na Europa, representantes policiais já se reúnem com registradores e pressionam o ICANN para uma regulamentação rígida, sobretudo sobre os milhares de “revendedores” ou “sub-registradores”, que não são cadastrados. O ICANN já conta com sua política uniforme de resolução de litígios entre domínios, que pode favorecer os titulares de marcas ou vítimas de concorrência desleal ou cybersquatting (http://www.icann.org/en/udrp/udrp.htm), que podem conseguir a adjudicação de um domínio por proxy malicioso, conseqüentemente, removendo a ofensa.
No Brasil, conquanto não tenhamos uma legislação específica, sabe-se que o direito à privacidade não pode ser utilizado em subterfúgio para o crime ou para acobertar atividades ilícitas e os lesados por esta prática podem se valer da perícia digital para a identificação dos criadores do domínio, e conseqüentemente, buscar a reparação criminal e cível por danos morais e materiais causados.
Empresas desonestas vêm utilizando o recurso como arma para concorrência desleal.
No Brasil, muitas pessoas ainda crêem que um ataque a um serviço web é extremamente difícil e somente crackers especializados podem fazê-lo. Esta não é a realidade. Os ataques de negação de serviço, também chamados de DDoS (Denial of Service) vem crescendo no mundo e no país, não somente como uma arma de cyberguerra mas, principalmente, como artifício nas mãos de empresas desonestas e como arma para concorrência desleal.
O ataque apresenta sua variante “distributed”, onde inúmeros computadores são utilizados para uma abordagem em servidores e sites de empresas e pessoas alvos, que diante das inúmeras requisições e congestionamento dos serviços suportados, passam a negar demais solicitações. Em síntese, o serviço sai do ar. O ataque foca principalmente o elemento "disponibilidade da informação", um dos escopos da segurança informacional, com conseqüente quebra de contratos e dano reputacional à empresa atacada.
Agora, se você pensa que este ataque é somente inerente a guerras internacionais e crackers ideológicos, se engana. Quanto valeria ver um concorrente fora do ar por algumas horas? E é exatamente esta motivação repugnante que nos chamou a atenção para novos serviços disponíveis no mundo cracker: a contratação de um ataque de negação de serviços. Se você pesquisar agora no Google “want to buy ddos attack” ou “rent DDoS Botnet” poderá se surpreender com o encontrado.
Criminosos digitais agora oferecem seu portfólio de serviços, o que é assustador, com técnicas que vão de Javascript Attack ou Attack through Scripting a DDOS, que podem ser encomendados de acordo com os bytes programados, tempo do ataque e perfil das empresas envolvidas. Se você é um criminoso digital de menor porte, também pode comprar no “atacado”, alugando uma Botnet para oferecer serviços a seus clientes!
Os bandidos já estruturam suas redes de ataque, que são utilizadas para produzir o volume de tráfego suficiente para derrubar empresas e serviços dos mais variados portes. Quanto maior o tráfego disparado e zumbis envolvidos, maior será o pagamento. Os serviços não garantem êxito, mas penso que ninguém aqui queira pagar para ver uma “brincadeira” desta natureza em face de seus negócios.
Sabe o que é pior? Os computadores e o tráfego da sua empresa, mesmo sem você saber, podem estar servindo de ativo para o crime digital, passivamente aguardando uma ordem remota, sendo que você poderá ser responsabilizado por isso. Talvez agora você entenda a importância de um teste de stress em sua rede, de intrusões, dimensionamento da capacidade ou análise de vulnerabilidades.
Se oferecer este serviço ainda orbita em uma zona legal cinzenta, a execução do ataque, se comprovada pela perícia digital, ainda que não consumada ou impedida pela equipe de resposta a incidentes, no Brasil, pode ensejar a punição dos responsáveis pelo crime de dano (ainda que tentado), previsto no artigo 163 do Código Penal Brasileiro. Sem prejuízo, se comprovado, os executores e mandante poderão responder pelo crime de concorrência desleal, previsto no art. 195 da Lei 9279/1996. Fica o alerta.
José Antonio Milagre é comentarista de tecnologia, advogado e perito especializado em segurança da informação. E-mail / Twitter / Site.
Febre no Brasil invade os lares de internautas: usuários lesados têm direito à reparação na Justiça
Os leilões de centavos modelo“penny auction”, nome dado aos sites em que usuários podem lançar de centavo em centavo, ou de real e real, produtos que começam com preço zero têm ganhado a cada dia mais adeptos no Brasil. Antes de lançar, o usuário deve comprar créditos pré-pagos. O usuário pode lançar até o cronômetro do produto zerar. Queixa comum é que os usuários de boa fé nunca conseguem cobrir os lances ou lograrem-se vencedores, pois sempre aparece alguém no último milésimo, propondo um lance maior.
Em análise acerca da autenticidade de alguns sites, identificamos que, descaradamente e incrivelmente, são sempre os mesmos usuários vencedores. Estes usuários, na verdade, não existem.
É isso mesmo. Em muitos sites existentes na rede, estes usuários são nada mais que “bots”, ou seja, agentes ou funções programadas para sempre cobrir o lance de usuários de carne e osso. Igualmente, como usuários são reféns do sistema, são reféns das regras e da programação, que não permite que seres humanos cubram os “bots” nas propostas, tudo na surdina, onde os proprietários se valem da ignorância dos usuários, que de centavo em centavo, estão perdendo fortunas na Internet.
O mais incrível é que não há necessidade de perícia especializada. Basta dedução. Por que um usuário iria querer ganhar a mesma mercadoria diversas vezes? Isto está acontecendo.
Os sites, já com mecanismos para fraude, são inclusive vendidos pela Internet com “templates” já com bots programados. Alguns administradores ainda são “bondosos” e configuram os bots para deixarem humanos ganharem, diga-se, às vezes. Os bots dão lances automáticos, por outro lado, usuários que criem sistemas de lance automático são considerados nocivos pelo regulamento dos sites e podem ser desconectados dos sistemas.
A lógica faz sentido: para as empresas lucrarem com “centavos”, elas precisam de usuários. Logo, com receio de prejuízo, empresas passam a manipular códigos e fraudar leilões, impedindo que muitos produtos sejam arrematados.
Se os falsos bots são desenvolvidos pela empresa, o usuário tem direito a reparação dos danos materiais e morais na justiça. Ainda, se são os próprios usuários os fraudadores, o site em nossa ótica também é responsável, devendo monitorar os certames e repreender qualquer manobra fraudulenta, anulando imediatamente o certame, quando constate fraude, sob pena de ser responsabilizado.
Aos usuários, pede-se cautela e investigação prévia, eis que muitos sites de leilão online no Brasil estão operando irregularmente, não possuem sede física e muito menos emitem nota fiscal. Outra manobra questionável, ainda, consiste em não permitir que os valores dados em lances sejam usados para compra de outros produtos no site, o que nitidamente ofende o Código de Defesa do Consumidor. Alguns sites permitem a compra, apenas do mesmo produto que o usuário deu o lance, e ainda em no máximo 24 horas do término do leilão. O problema é que os produtos são sempre superfaturados.
E o pior, enganam os usuários, pois para comprar o produto, os mesmos precisam queimar os seus lances. Logo, não haverá abatimento verdadeiro do valor da mercadoria.
Não bastasse, tais sistemas travam e são suspensos estrategicamente, para frustrar uma competição e o arremate, e o pior, muitos dos que consultamos trazem previsão expressa nos termos de uso sobre tal “faculdade” do site. É preciso que o usuário leia os termos de uso, e se não concordar, não participe.
Diversos pontos do Código de Defesa do Consumidor são transgredidos, já que o código considera nulas cláusulas contratuais que subtraiam do consumidor a opção de reembolso de quantia paga, o que se aplica aos leilões de centavos. Igualmente o fornecedor de serviços on-line responde por defeitos na prestação dos serviços ou por informações insuficientes ou inadequadas sobre tais serviços, o que de fato é comum em grande parte dos sites de leilão de centavos, em operação no Brasil.
Cumpre destacar ainda que tais sites, omitindo informações relevantes sobre a natureza e segurança dos serviços, ou mesmo realizando propaganda enganosa, podem, na figura de seus diretores, serem punidos criminalmente com pena de três meses a um ano de detenção e multa.
No Brasil, ainda não há um consenso se tais portais podem ser considerados “jogos de azar” já que a possibilidade de ganhar ou perder não depende da habilidade do jogador, segundo muitos, mas exclusivamente da sorte. Deve-se destacar que “jogo de azar” é uma contravenção penal prevista no artigo 50 do Decreto Lei 3.688 de 1941. A justiça deverá ser instada a se manifestar em breve sobre o tema.
Os usuários devem checar os termos de privacidade e uso do site, checar CNPJ na Receita Federal, observar se a empresa tem endereço físico, bem como avaliar sua integridade em redes sociais e sites de defesa do consumidor.
Para os que foram lesados, recomenda-se registrar toda a ocorrência com “screenshots”, se necessário lavrar uma ata notarial em cartório de notas. Após, deve-se notificar o site para o ressarcimento, sem prejuízo. É possível abrir uma reclamação no Procon e acionar a justiça em busca da reparação material e moral, considerando o desgaste em lidar com tais sites, sem prejuízo de eventual medida criminal por crime envolvendo relação de consumo e, se comprovado, estelionato.
Os sites de leilão, por sua vez, podem se valer de perícia especializada e auditoria digital que mediante análise criteriosa, certifique e testifique que o sistema está limpo de bots e malwares, os isentando de responsabilidades e conseqüentemente, atestando a integridade do código.
José Antônio Milagre é Advogado e Perito especializado em Tecnologia da Informação
A Domótica é uma nova tecnologia que permite a gestão de todos os recursos habitacionais, simplificando a vida das pessoas. O termo “Domótica” resulta da junção da palavra latina “Domus” (casa) com “Robótica” (controle automatizado de um ambiente).
Embora tenha nascido em um contexto militar, hoje vivenciamos o crescimento das tecnologias nos ambientes domésticos. A máxima aqui é o controle de iluminação, climatização, e principalmente, segurança, de forma interligada. Outros elementos e dispositivos eletrônicos também podem ser interligados. Um dos principais controles utilizados no mundo é o Z-Wave, onde os especialistas são cada vez mais requisitados no mercado brasileiro.
O que antes era privilégio de milionários, hoje pode integrar casas e ambientes corporativos por menos de dois mil reais (sistemas básicos), sendo que segundo o jornal Folha de São Paulo, os kits já estão cerca de 60% mais baratos que há três anos.
A automatização das tarefas de uma casa ou ambiente corporativo pressupõe a existência de uma central de controle, esta que pode ser conectada a um PC ou mesmo se comunicar por meio de Internet. Fala-se hoje em “domótica inteligente” onde os sensores de um ambiente residencial ou corporativo poderiam conhecer o comportamento daqueles que lá habitam ou trabalham, no conceito chamado “ABC”, automação com base no comportamento.
A característica da domótica é a integração de dispostivos em um único controlador. Tal ponto, se por um lado organiza a gestão das “casas virtuais”, por outro permite que todo um sistema seja perturbado em uma única investida, que pode, assim como na alteração de um firewall, alterar ou criar regras no sistema inteligente, prejudicando os que dele se valem.
Logicamente que ataques a estes sistemas residenciais poderão ser feitos por pessoas que conhecem as intimidades do projeto eletrônico, por outro lado, deve-se pontuar que ter uma casa automatizada na Internet será um risco que precisará levar em consideração critérios no escopo de minimizá-lo.
Que a domótica vem tornar a vida mais fácil não há duvida. O mesmo não se pode dizer quanto à segurança. Os sistemas passam a reagir por uma ordem dada por um interruptor ou por um comando, que pode ser remoto, até mesmo via celular.
Neste cenário, novas ameaças surgem na sociedade da informação. Um criminoso digital pode, por exemplo, cancelar ou paralisar sistemas de irrigação automática, prejudicando hortas e plantas, superaquecer a água para o banho, desligar a aspiração central ou purificador de ar, bem como iluminação, preparando o ambiente para um ataque ou assalto físico, o que pode ser fatal aos habitantes e pessoas que ali trabalham.
Igualmente, um agressor pode desligar os níveis de segurança, tornando indisponíveis sensores de gás, inundações, incêndios, bem como o sistema de comunicação com autoridades e com os proprietários. Sistemas de monitoramento, controle de acesso por impressão digital e padrão retinal ou de voz também podem ser prejudicados. Em síntese, se antes o criminoso usava uma chave ou alicate para cortar as correntes, cercas elétricas e cadeados de uma casa, em breve, bastará conhecimentos de tecnologia e alguns comandos, executados remotamente.
Deve-se mencionar também, que a domótica pressupõe central de conectividade (Internet), integrando dados com comutação de tomadas e energia. Se alteradas por um criminoso, poderia expor dados de seus moradores ou mesmo servir de ponte para a prática de outros crimes digitais.
Como se verifica, a domótica, ao colocar a casa ou ambiente corporativo na Internet, traz consigo diversas ameaças. Empresas que façam automação deverão pensar em segurança, envolvendo atualização constante do middleware dos equipamentos e riscos de invasões, alterações indevidas e outras possibilidades. A questão da responsabilização civil dos fornecedores também deverá vir à tona, onde os titulares de residências inteligentes poderão ser valer de perícia especializada para apurar o responsável por vulnerabilidade no sistema que tenha permitido a atuação de um criminoso ou a consumação de um incidente.
A segurança eletrônica será em breve parcialmente absorvida pela segurança da informação, o que demandará atualização dos profissionais pois até mesmo uma residência deverá ter um firewall lógico configurado e atualizado, ou será presa fácil do crime da era da sociedade da informação.
José Antônio Milagre é Advogado e Perito especializado em Tecnologia da Informação
Proposto pela Republicana Jack Speier (Califórnia), projeto de Lei denominado “Do Not Track Me Online” passa a exigir que todas as empresas de rastreamento online passem a considerar a opção do usuário que poderá não permitir o monitoramento de sua navegação.
A medida já havia sido discutida pelo Federal Trade Comission (FTC) que recomendou aos fabricantes de navegadores em dezembro que colocassem nos programas um botão “Do Not Track Me”, e que já existe em algumas versões do FireFox e em breve certamente estará presente no Internet Explorer e Chrome.
A legislação se aplica principalmente às empresas de publicidade online e de análise de padrões de consumo e perfis de mercado. A Lei Speier também cria a consciência da ética e boas práticas na coleta de dados de usuários, por meio da difusão clara às pessoas de que informações serão coletadas durante a navegação, dando oportunidade de “opt-out” (Saída ou não autorização) e permitindo que as pessoas vejam os dados que estão sendo coletados, bem como sejam informadas da finalidade da coleta.
Ao que parece a Lei não atinge o Facebook e seus anúncios segmentados pois existe um termo que o usuário tem contato quando se cadastra, porém pode interferir no sistema DoubleClick, usado pelo Google para saber o que as pessoas fazem na Internet.
Acesse o Projeto de Lei Do-Not-Track-Me-Online (Lei Speier) aqui.
José Antonio Milagre é Advogado e Perito especializado em Tecnologia da Informação
Começamos 2011 com a adoção de medidas fiscalizadoras intensas aplicadas pelo Fisco Paulista, onde fomos apresentados à obrigação dos provedores de hospedagem de sites de comércio eletrônico de informar usuários (sites) que fizeram vendas maiores do que nove itens e com valor total de mercadoria acima de R$60 mil em um dos trimestres de 2010.
Assim, o provedor de hospedagem, em São Paulo, pode ser considerado solidariamente responsável se não repassar os dados para aplicação do ICMS (Imposto sobre Circulação de Mercadorias e Serviços) relativos aos seus clientes. Sites de leilão e empresas de mediação de pagamentos não estão fora da regra estabelecida pela Portaria 156/2010. Trata-se do “cerco” às empresas que vendem pela Internet que terá poderoso mecanismo de cruzamento de dados. O problema é: Como fica a proteção e a privacidade dos dados dos usuários de hospedagem? Como o provedor de hospedagem vai saber das vendas dos sites que hospeda? Estamos tratando de hospedagem ou somente de gestão de e-commerce?
O contribuinte mantenedor de e-commerce deverá estar bem assessorado técnica e juridicamente pois poderá ser responsabilizado por vendas que não foram concluídas mas encontram-se registradas em seus bancos de dados, podendo ainda ser alvo da ação de criminosos digitais que incluam vendas não feitas. Deverá estar habilitado tecnicamente para provar tais incidentes em face do Fisco.
Não bastasse a fiscalização implementada e cujos métodos ainda não são claros e podem prejudicar o contribuinte, recentemente alguns Estados brasileiros passaram a cobrar “ICMS” do e-commerce na entrada da mercadoria. Ou seja, embora já pagando o imposto no Estado de origem da mercadoria, está sendo indevidamente exigido que o empresário de Internet recolha o imposto no destino, ou endereço do consumidor. Ao contrário do Brasil, diante da ausência de controle do e-commerce, nos EUA, a tônica vem sendo tributar o próprio consumidor, que fica incumbido de recolher o imposto devido.
A Constituição Federal assegura que a alíquota do ICMS, quando o destinatário não for o contribuinte, será a interna, quando forem destinados produtos a consumidor localizado em outro Estado. No entanto, emenda constitucional já determinou a repartição de tributo entre Estados para determinados produtos, como gás natural. Tal medida poderá ser feita em relação à Internet, o que não significa dizer que empresários .com devem pagar o mesmo imposto sobre o mesmo fato gerador diversas vezes.
Neste cenário, a instituição do mesmo tributo (com mesmo fato gerador) por duas ou mais pessoas jurídicas de direito público (Estados) caracteriza “bitributação”, logo, as empresas de comércio eletrônico não devem ser tributadas duas vezes pelo ICMS, tanto na origem quanto no destino da mercadoria, podendo ser valer de medidas judiciais para suspensão da exigibilidade do débito, enquanto o Conselho Nacional de Política Fazendária (CONFAZ) não harmoniza a questão em relação à distribuição da receita tributária do comércio na Internet.
Tem sido comum na internet a inserção de scripts com códigos maliciosos em websites. Esta “injeção de malware” pode se dar por meio de diversas técnicas pelos crackers, sendo que até mesmo o simples “comentário malicioso” em blogs contem informação, links e códigos que redirecionam à sites com trojans. Assim, criminosos digitais editam trechos dos arquivos do site e instalam uma referência para trojans e worms ou mesmo criam no servidor FTP do usuário tais arquivos.
Logo, o dono do site passa a ser considerado um “criminoso digital” sendo taxado por autoridades e pela sociedade como disseminador de vírus de computador, e o pior, sem nada saber e por culpa de empresas que permanecem impunes dada a demanda ainda em baixa escala no Brasil.
O dano ao titular do site ocorre quando o problema não é de programação insegura do site (comprovado mediante pericia), mas da irresponsabilidade de provedores de hospedagem, que relutantes em oferecer a segurança da informação anunciada em seus comerciais, deixam brechas para que os sites que hospedam sejam infectados em massa, e o pior, nada fazendo para remover o conteúdo que só é descoberto quando inúmeras vítimas foram lesadas, oferecendo ainda um helpdesk desinformado e impreciso às vitimas.
Estamos presenciando a rotinização do descaso por parte dos provedores de hospedagem. Mas não é só.
Quando os sites estão infectados, sempre que alguém digita o site em buscadores, é surpreendido com a mensagem “Página avaliada como foco de ataques” ou “Este site pode danificar seu computador” onde o usuário dificilmente poderá obter acesso ao site, eis que mesmo que assuma o risco, muitas vezes tem seu acesso à página dificultada.
Isto gera danos materiais e à imagem de empresas e titulares dos sites, dentre os quais podemos citar:
· Ter o site ou portal associado ao crime eletrônico o que trará danos à imagem do titular e complicações policiais;
· A redução brusca dos acessos aos sites, o que pode causar danos a sites de relacionamento, comércio, empresas de comunicação, serviços ou mesmo sites pessoais;
· Perda de clientela e crédito, considerando a insegurança que os avisos dos buscadores proporcionam aos usuários.
Mas o pior não está no fato do consentimento dos provedores de hospedagem com as infecções de sites que armazenam, mas sim na “falsa” afirmação de buscadores de que um site, mesmo limpo, “pode causar danos ao computador” ou mesmo que “pode danificar o computador”. Explica-se.
Em inúmeros casos em que a perícia técnica foi realizada, o titular do site alterou as senhas do FTP, aplicou anti-vírus, apagou todos os conteúdos do site e fez o upload novamente, diga-se, grande parte dos procedimentos de segurança e mesmo assim, buscadores ainda classificam o site como malicioso, o que é um ato ilícito e pode ser reparado na justiça. Não se pode crer que usuários devam esperar os “bots” dos buscadores atualizarem a análise para só então verem seus sites limpos de afirmações inexistentes e prejudiciais. O buscador deve ser compelido na justiça a remover tal informação ou mesmo provar no que se apegou para informar que um site era um “antro viral”, considerando laudo pericial que comprova o contrário.
Em outros casos, um simples “PDF” dentro do servidor FTP, foi interpretado pelo buscador como “Arquivo Malicioso”, sendo que o PDF estava em área não pública do FTP (fora de wwwroot) Após isso o buscador classificou o site como “perigoso”.
A falsa argumentação de segurança para usuários não pode servir de fundamento para a prática de dano ao consumidor, dano civil, concorrência desleal e dano à imagem de pessoas e empresas que mantém sites e portais na Internet. Soma-se a tudo que o processo não é claro e os buscadores não explicam como acessam (ou invadem) o FTP das hospedagens e classificam sites como maliciosos, escaneando até mesmo arquivos não publicados ou sem permissões, não explicando também qual é especificamente a ameaça que diz ter encontrado. Logo, devem exibir em juízo tais procedimentos, sem prejuízo da reparação dos danos cabíveis, pelo ato de inviabilizar o livre acesso ao site, mesmo após a comprovada correção da falha:
Deste modo, existe podem ser responsabilizados na Justiça:
· O provedor de hospedagem, quando mediante pericia digital, fique comprovado que o código malicioso foi injetado não por programação insegura do site mas por falha nas configurações do servidor, permissões e serviços da empresa que hospeda. Além disso, esta deverá ser responsabilizada caso notificada, não forneça explicações sobre o incidente bem como dados que levem a identificação física do autor da alteração do site (Compulsando em seus logs);
· O mecanismo de busca, por classificar um site como maligno a usuários mesmo após a completa limpeza do mesmo, atestada por meio de competente laudo resultante de um pericia digital assistida por testemunhas e registrada em cartório.
Estima-se que milhares de sites no Brasil estão classificados como contendo código malicioso sem que os titulares saibam. Para saber agora se o Google está classificando seu site como suspeito, acesse aqui.
Ao dono ou titular de webiste na Internet que experimenta a situação a recomendação é contatar um profissional em direito digital para as medidas legais cabíveis para preservação da prova eletrônica, coleta de informações junto aos provedores envolvidos e responsabilização dos agentes de busca e hospedagem pela falha cometida. Recomenda-se não utilizar ferramentas de webmaster fornecida por buscadores para sanar o problema antes da preservação das provas.
José Antonio Milagre é Advogado e Perito Especialista em Crimes Digitais
Não é de hoje que sabemos sobre certos episódios envolvendo espionagem, vazamento de informações e crime organizado dentro do setor público brasileiro. Com a tecnologia da informação, as formas de coleta indevida e difusão das informações facilitaram os crimes digitais, associado ao fato da ignorância de muitos servidores públicos na proteção das informações, a despeito das estruturações e títulos na área de segurança da informação.
Longe dos pomposos e não tão eficientes órgãos de segurança e inteligência do Governo Federal e dos Estados ricos da Federação, encontramos Estados, Prefeituras e orgãos manipulando informações sensíveis, diga-se, matéria prima para fraudes e golpes, sem qualquer proteção. São dados de concursos, de segurança, arrecadação, licitações, contratos, convênios, planilhas, imóveis a serem leiloados e outras informações aptas a serem exploradas para a fraude ou exploração ilícita. O resultado é previsível.
Não bastasse, sites institucionais hospedados em estruturas precárias ou servidores absolutamente mal configurados ou blindados em face da atuação do crime eletrônico. Como resultado, a recente indisponibilização do site da Presidência da República [1], por meio de um ataque de negação de serviço (DDOS), atribuído a um grupo denominado "Fatal Crew Error".
No Brasil, o gabinete de segurança institucional apresenta relatos de falhas, como no caso das câmeras do Palácio do Planalto, que não registraram as placas dos veículos que estiveram por lá no início de 2009 [2]. Na previdência, a fraude chega a 1,6 bilhões de reais, e conta com uso indevido de informações do sistema de óbito de segurados, o SISOB, bem como outras técnicas de uso indevido de dados, o que faz do país um dos que mais possuem "mortos-vivos" do mundo em termos previdenciários.[3] Estamos também entre os campeões de "empresas-fantasma", aptas a abocanhar licitações do norte a sul do país.
A própria Polícia Federal tem sua conduta questionada, no que cerne ao vazamento de informações de inquéritos e outros procedimentos, para a imprensa, televisões e outros privilegiados, o que gerou a indignação do ministro do Supremo Tribunal Federal, Gilmar Mendes, também em 2009 [4], e que também motivou o pacotão da segurança pública que pretende suspender e até demitir o agente que se manifestar sobre investigação que participe ou tenha conhecimento.
No centro de São Paulo, é possível comprar senhas para o maior banco de dados da segurança pública do Brasil, o InfoSeg [5], a custo irrisório de 2 mil reais, como já noticiado na mídia brasileira.
Outros entes públicos de nível federal, estadual e municipal já experimentaram a fraude resultado da associação entre maus servidores e particulares bandidos. A epidemia não é só pública, já que estima-se que no Brasil boa parte dos negócios fechados no mercado financeiro tenham como suporte o vazamento de informações[6].
O que o vazamento de informações causa? Dano e desfalque ao erário. Tomemos o exemplo do vazamento de informações que prejudicou uma operação policial no Rio de Janeiro, em 2007, nas favelas do Complexo São Carlos, no Estácio, onde a Polícia pretendia prender 100 pessoas. Um homem foi preso.[7]
Outro exemplo, o vazamento das provas do ENEM em 2009[8]. 500 mil reais era o que o funcionário da gráfica contratada pelo Ministério da Educação queria para fornecer as informações ao Jornal "O Estado de São Paulo". Resultado? O sabido cancelamento da prova, ato que custou nada menos que 30 milhões ao Governo. De observar, a reincidência veio em 2010, com mais um vazamento de dados das provas do ENEM.
Mais um exemplo, a venda dos caças ao Governo Brasileiro, fato amplamente noticiado em 2009, onde a despeito do termo de confidencialidade estabelecido pela Força Aérea Brasileira (FAB), ficou claro o vazamento de informações sobre o preço ofertado pela francesa Dassault [9].
No Brasil, a Lei 9883/99 institui o Sistema Brasileiro de Inteligência, no âmbito federal, e cria a ABIN. Este sistema é responsável pela coleta e custódia de informações para servir ao Presidente da República em suas decisões. Todos os entes públicos que manipulam informações de interesse nacional compõem o SBI e estão sujeitos ao controle da ABIN. Ora, se existe permissivo legal para o monitoramento e auditoria, porque tantos escândalos?
Não bastasse, sabemos que fora do executivo federal, órgãos públicos municipais e estaduais ainda não atentaram para o risco da negligencia, imprudência ou imperícia na manipulação de informações confidenciais. O Código Penal brasileiro prevê em seu artigo 325 o crime de violação de sigilo funcional também para quem permite ou facilita o acesso de terceiros a sistemas de informações da administração pública, estabelecendo ainda uma pena de reclusão que pode chegar de 2 a 6 anos e multa. Ou seja, ser negligente com sistemas informáticos, na administração pública, é crime!
Já se o funcionário público é quem insere ou altera os dados nos sistemas da administração, pode responder pelo peculato informático, dependendo das circunstâncias, será enquadrado nos arts. 313-A e 313-B do Código Penal, com pena que pode chegar a 12 anos de reclusão.
Mas só punição adianta? Efetivamente que não, eis que como verificamos, o peculato informático foi criado em 2000 e nem por isto desestimulou o vazamento de informações públicas e pelo contrário, hoje são os particulares que praticam o crime de exploração de prestígio, ao se valerem das relações com funcionários públicos maléficos, na obtenção de vantagens.
A resposta é a efetiva gestão de segurança da informação, com a implementação de um sistema eficaz e que considere pessoas acima de ferramentas e softwares e leve em consideração que influências internas são as principais responsáveis pelo vazamento de dados na área pública e também privada. Uma pesquisa mais refinada no Google e descobrimos quantos servidores utilizam e-mails do governo para usos privados. Mais, sabemos de casos em que o servidor foi desligado e anos depois ainda detinha privilégios de acesso à rede VPN governamental, agenciando tais informações à seu critério. Documentos privados circulam na internet com timbres oficiais, e que podem ser utilizados por estelionatários para confecção de falsos documentos e aplicação de golpes.
Dados não são validados quanto ingressam nas bases da administração, acordos de confidencialidade não são cumpridos, funcionários não são conscientizados dos riscos, não existem perímetros físicos de proteção de ativos, funções não são segregadas e o pior, em alguns órgãos os gestores públicos sequer sabem quais os ativos informacionais são importantes para a empresa pública, e o quanto devem se esforçar para protegê-los.
Estas, são apenas algumas posturas inerentes à ausência de um sistema de gestão que preze pelos fundamentos da segurança: integridade, disponibilidade e confidencialidade de dados, e principalmente, que seja testado e avaliado periodicamente, por meio de testes de intrusão, engenharia social e outras técnicas homologadas e válidas em segurança da informação.
Se você questionar a um gestor de segurança de um órgão público se ele tem uma ferramenta firewall licitada funcionando em sua área o mesmo afirmará que sim. Agora experimente questionar se ele tem uma política de gestão de continuidade do negócio, ou se adota gestão da segurança no desenvolvimento e suporte de seus sistemas, ou ainda se desenvolveu uma célula de forense digital vinculada a seu time de resposta a incidentes…
As proteções contra vazamentos devem ser objeto de avaliação periódica e a inteligência é fundamental neste ponto. Não acabaremos com o vazamento de informações públicas licitando firewalls, software de segurança e detectores de intrusão, mas aliando a rigorosa legislação brasileira já existente, com técnicas de monitoramento e screening dos funcionários públicos que lidam com informações críticas. A inteligência não deve estar só no âmbito federal, e principalmente, deve sair do papel e ser aplicada. Aquele que manipula informações públicas sensíveis deve estar ciente de que dada a responsabilidade que detém, pode ser auditado, sem que possa evocar a proteção conferida a um cidadão comum, no que tange à privacidade.
Tomemos o exemplo de Portugal onde o Serviço de Informações da República (SIS) e o Serviço de Informações Estratégias, em 2009, assinaram protocolos para a inserção de espiões nos serviços públicos. Mas qual a finalidade desta medida? Simples, combater a criminalidade organizada dentro do Governo, esta, que se vale de informações confidenciais e privilegiadas para movimentar um mercado negro de milhões de euros.
Aqui não é diferente.
No Brasil, algumas iniciativas ainda engatinham, mas servem de exemplo para todos os órgãos públicos da Federação, como o projeto de Lei que dispõe sobre o regime disciplinar do Departamento da Polícia Federal e da Polícia Civil do Distrito Federal[10], que institui a chamada "sindicância patrimonial", destinada a averiguar e identificar servidores que ostentam patrimônio imensamente maior do que o compatível com a função. São medidas que podem auxiliar a redução dos crimes envolvendo vazamento de informações eis que quem tem acesso a informações sigilosas governamentais, com certeza não as cede gratuitamente.
Enfim, demonstramos que o vazamento de informações na administração pública em todas as suas esferas é realidade, motivada e impulsionada pelo vantajoso e lucrativo tráfico de informações e principalmente pela ausência de monitoramento dos ativos de tecnologia da informação e seus respectivos suportes. Igualmente, concluímos que não existe uma solução pacífica e incontroversa para amenização desta patologia, porém sabemos que esta solução passa longe da compra e mais compra de softwares e dispositivos de segurança, e que um caminho pode ser a aplicação da lei, em cotejo com a fiscalização e testes de intrusão para avaliar condutas dolosas e culposas, perícia digital para identificar a autoria de incidentes, além do monitoramento de ex-agentes e a chamada sindicância patrimonial.
Resta pacífico que serviços de inteligência em sua gênese são concebidos no escopo de apoiar a tomada de decisões governamentais, e mais que isso, de proteger ativos das ameaças, sobretudo digitais, antecipando problemas e identificando causadores. Porém, mais claro ainda, fica demonstrado que sem governança, análise de risco, conformidade e monitoramento constante, tais serviços podem se voltar contra o Estado e seus cidadãos, servindo, por ação ou omissão, interesses escusos e criminosos, de sabida alta lucratividade.
José Antonio Milagre é Advogado e Perito Especialista em Crimes Digitais
O anteprojeto do Marco Civil Regulatório da Internet Brasileira, fruto da grande consulta pública digital que ocorreu desde 2009 em http://culturadigital.br/marcocivil/ ainda não é sequer um projeto de Lei, sendo que a estimativa é que ingresse no Congresso Nacional para votação no começo de 2011.
Porém no Brasil, alguns juízes e desembargadores já utilizam o texto do aspirante a primeira lei que regulamente os direitos e deveres dos atores da Internet, mesmo que ainda não em vigor, para fundamentar seus julgados em casos relativos a direito da tecnologia da Informação.
Caso recente ocorreu no Rio de Janeiro, em junho de 2010, na 39. Vara Cível da Comarca da Capital, processo número 0008136-32.2010.8.19.001, onde um cidadão, alegando violação de sua conta de e-mail, e já tendo os dados IP (Internet Protocol) do suspeito, ingressou com ação cautelar de exibição de documentos, em face do provedor de acesso NET SERVIÇOS DE COMUNICAÇÃO LTDA, responsável pelo IP identificado.
A medida foi concedida pelo Juiz de Direito, tendo a empresa requerida recorrido por via de agravo de Instrumento ao Tribunal de Justiça do Estado, alegando em síntese, impossibilidade técnica de cumprimento da decisão. O Recurso, recebeu o número 0013822-08.2010.8.19.0000, e foi julgado pela vigésima câmara cível do TJ/RJ, tendo como relatora a Desembargadora Letícia Sardas, que assinou digitalmente seu julgado.
No acórdão, a relatora fundamenta inicialmente acerca da fase embrionária do direito da tecnologia da informação, onde posições sobre a matéria ainda não se concretizaram, contudo, infere que isto não pode afastar a aplicação da Legislação que se tem em mãos.
Neste ponto, pela primeira vez em um Tribunal Brasileiro, elenca a decisão do Tribunal do Rio de Janeiro, que o Marco Civil é quem estabelece os direitos dos cidadãos na Internet, e que obriga aos provedores de acesso a manterem os registros de conexão dos usuários que acessam a rede. No que tange ao registro de acesso aos serviços de internet, informa a decisão que o provedor de acesso não tem obrigação de registrar tal atividade, mas se o fizer terá que "informar o usuário" e nos termos do Marco Civil.
Após amparar-se no Marco Civil Regulatório da Internet Brasileira, a Corte decide afastar por completo a alegação da parte requerida de impossibilidade técnica de cumprimento à decisão, mantendo a decisão de primeira instância, obrigando o Provedor de Acesso NET a apresentar logs de acessos de operações realizadas em setembro de 2009. A decisão, amparada no Marco Civil determina, por fim, ao provedor NET, não só a informação dos dados físicos do usuário que utilizou IP (Internet Protocol) atribuído pelo provedor na horário da invasão, mas também a informação dos sites da Internet que foram acessados no curso da utilização.
O referido acórdão, embora demonstre a sintonia da Câmara com o estágio regulatório da Internet, gera controvérsias pois primeiramente, utiliza-se uma norma ainda não vigente, e que pode ser alterada (e deverá ser) pelo Congresso Nacional, para se decidir, agora, sobre direitos e liberdades de pessoas, que apresentam casos na Justiça.
Outrossim, a decisão pode gerar um precedente, a medida em que nela o Tribunal reconhece por direito e determina a um Provedor de Acesso, que em tese deveria registrar tão somente registros de conexão ou dados físicos de seu cliente, que informe também os registros de navegação ou de acesso a serviços, o que sabe-se, pelo marco civil, imprescindirá de autorização prévia do usuário para serem custodiados e principalmente, não seria obrigação de um Provedor de Acesso, como a NET, vejamos:
Art. 10 A provisão de conexão à Internet impõe a obrigação de guardar apenas os registros de conexão, nos termos da Subseção I da Seção III deste Capítulo, ficando vedada a guarda de registros de acesso a serviços de Internet pelo provedor.
A decisão poderá ser adotada e citada em outros casos por advogados e autoridades para que se possa pleitear de Provedores de Acesso, registros relativos a acesso à serviços e histórico de navegação, como demonstração de capacidade técnica, o que destoa do atual cenário das decisões majoritárias relativas ao tema, onde Provedores de Acesso tem sido obrigados tão somente a fornecer registros de conexão ou dados cadastrais, nada mais.
Deste modo, talvez sem saber, o Tribunal do Rio de Janeiro é o primeiro do Brasil a embasar uma decisão no Marco Civil, desde já dando publicidade ao modus interpreativo que vem se aplicando ao anteprojeto. Logicamente, outras decisões surgirão e o cenário ainda é cinzento e embrionário, porém desde já reascende a discussão sobre a premente necessidade do texto ser aperfeiçoado no Congresso Nacional, afim de evitar falhas de interpretativas inerentes a uma matéria técnica, como a Internet.
Abaixo a ementa da primeira decisão no Brasil que considera o Marco Civil Regulatório da Internet Brasileira:
"AGRAVO DE INSTRUMENTO. CAUTELAR DE EXIBIÇÃO DE DOCUMENTOS. SIMPLES ALEGAÇÃO DE IMPOSSIBILIDADE TÉCNICA DE CUMPRIMENTO DA DECISÃO QUE NÃO MERECE PROSPERAR. SUMULA 372 STJ. APLICABILIDADE. MULTA DIÁRIA EXCLUIDA. PARCIAL PROVIMENTO DO RECURSO. 1. No caso dos autos, alegando violação de sua conta de e-mail, o agravado quer que a agravante lhe forneça os dados necessários para identificação dos invasores de sua conta de e-mail. 2. Haja vista a fase embrionária jurídica em relação ao assunto, ainda não se concretizaram definitivamente as posições no tocante à matéria. 3. Contudo, ainda que existam muitos nichos desconhecidos em relação à internet, esse mesmo argumento não pode servir para justificar ou escusar a não aplicação da legislação que se tem a mão. 4. O Marco Civil da Internet no Brasil, submetido à segunda consulta pública, estabelece os direitos dos cidadãos brasileiros na internet.5. Ponto muito importante e positivo do Marco Civil é a forma como propõe regular os direitos e deveres relativos aos vários dados gerados pelo usuário quando navega. 6. Os registros relativos à conexão (data e hora do início e término, duração e endereço IP vinculado ao terminal para recebimento dos pacotes) terão que ser armazenados pelo provedor de acesso à internet. 7. Em relação ao registro de acesso aos serviços de internet (e-mails, blogs, perfil nas redes sociais etc.), o provedor não tem obrigação de armazenar os dados. Mas, se o fizer, terá que informar o usuário, discriminando o tempo de armazenamento. 8. Assim, resta claro que a simples alegação de impossibilidade técnica de cumprimento à decisão, tendo em vista não mais possuir armazenados os logs de acesso com as informações das operações realizadas no mês de setembro de 2009 não tem o condão de afastar a determinação judicial concedida nos autos da Medida Cautelar. 9. Além disso, medida não trará nenhum prejuízo ao agravante já que este estará apenas fornecendo os dados necessários para identificar os possíveis violadores da conta de e-mail do autor da ação. 10. Por outro lado, em se tratando de ação de exibição de documentos, aplica-se ao caso a S. 372, STJ. 11. Mantém-se, contudo, a decisão recorrida que determinou o fornecimento dos nomes, endereços e todos os dados que a NET tiver em seus arquivos, relativos a seus contratantes que das 22:00 horas do dia 19.09.2009 às 00:44 horas do dia 20.09.2009, se utilizaram dos IPs indicados no item 1 da petição inicial (cf. fls. 60), especificando os horários de inicio e fim da utilização, bem como os sites na internet que foram acessados no curso da utilização. 12. Parcial provimento do agravo de instrumento para excluir a imposição da multa diária para caso de descumprimento."
Ementário: 38/2010 - N. 14 - 30/09/2010
Precedente Citados: STJ REsp 513707/SP, Rel. Min. Carlos Alberto Menezes Direito, julgado em14/02/2006; REsp 954548/RS, Rel. Min. Castro Meira,julgado em 18/10/2007. TJRJ AI 2009.002.06961, Rel.Des. Azevedo Pinto, julgado em 29/04/2009 e AI2009.002.00710, Rel. Des. Pedro Freire Raguenet,julgado em 17/03/2009.
"Estamos todos bem no refúgio, os 33".
Relato dos mineiros após duas semanas do incidente, quando foram encontrados.
A perplexidade envolvendo o soterramento dos 33 mineiros chilenos, em agosto de 2010, presos a 700 metros de profundidade, em uma câmera de segurança (com 50 metros quadrados) da mina de São José não se limita pela tragédia propriamente dita. Mais do que preocupação pela vida destas pessoas, fato que nos faz refletir é o exemplo e aprendizado que o episódio nos apresenta, os quais podemos aplicar com precisão em muitos projetos profissionais e corporativos, principalmente em tecnologia da informação. Diversos institutos fundamentais ao êxito de estratégia, projetos, segurança da informação e operações são aclarados quando refletimos sobre como estas pessoas estão lidando com o imprevisto, os quais apresentamos:
1) Auto-Conhecimento
Assim como na mina, mas como em qualquer negócio, sobretudo na área de tecnologia da informação, é indispensável que os envolvidos conheçam bem as carcterísticas do negócio em que atuam. Todo gestor deve ter um mapa de cada processo, sobretudo para que este processo atenda as necessidades do negócio, como cultura, políticas, condições sociais, políticas, geográficas e outras características do negócio. Auto-conhecimento também permite que em operações cada recurso empregado nas atividades corporativas tenham um conjunto de habilidades necessárias. No caso dos mineiros, todos eram cientes dos detalhes mais íntimos desta atividade, bem como conheciam claramente as habilidades de cada um dos integrantes do grupo, consequentemente, concebendo um mapeamento prévio dos recursos à disposição e principalmente, como e quando utilizá-los, em caso de um incidente como o que experimentaram.
2) Análise de Risco
Justamente por conhecerem absolutamente o negócio que operam os mineiros puderam criar uma análise de risco, onde puderam compreender, as vulnerabilidades existentes na operação, as ameaças que atuam sobre estas vulnerabilidades, e principalmente a probabilidade de incidentes ocorrerem. Conhecendo tais fatores, os mineiros conseguiram avaliar o impacto dos riscos e consequentemente, a urgência e prioridade em tratá-los. Com isso, sabendo das condições climáticas do terreno e dos constantes deslocamentos de terras, desenvolveram uma "câmera de segurança", prevendo a hipótese de um incidente desta natureza. Só estão vivos graças a esta análise, que lhe deram informações para decidirem implementar medidas de contingência e abrigo. No ITIL, a análise de risco está no âmbito do gerenciamento da continuidade.
3) Resposta a incidentes
Se os chilenos soterrados não tivessem capacitação para responderem a incidentes desta natureza, com certeza já estariam mortos. Isto fez toda a diferença para eles, e isto faz toda a diferença no seu negócio. Infelizmente, empresas que atuam de forma reativa e não pró-ativa, tendem a perder as rédeas quando um incidente acontece, onde excepcionalmente o resultado é catastrófico. No caso dos mineiros, cada integrante investiu-se da qualidade de um recurso para uma atividade de um processo, cujo objetivo imediato é devolvê-los ao convívio de seus familiares, logicamente, com a preservação da vida. Logo, se arrumaram com uma "solução de contorno", onde buscaram estabelecer uma convivência que primasse pela estabilidade mental, saúde, organização. Não bastasse, realizaram um excelente atendimento ao incidente em primeiro nível, onde muniram de informações as equipes de resgate que estão na superfície, informações estas que foram importantes para definir a melhor alimentação, ventilação, apoio psicológico e principalmente, serviu de insumo para que as equipes de resgate criassem a melhor estratégia para recuperação, com o objetivo de salvar todas as vidas e impedir a desestabilização mental, com consequente depressão. No caso apresentado, se a equipe de segundo nível do incidente, que são os resgatadores que estão na superfície, não tiverem condições para o regaste, deveriam recorrer ao outsourcing ou a terceiros. E assim foi feito eis que a NASA foi chamada para auxiliar à resolução do problema.
4) Plano de contingência e recuperação do desastre
Se eu armazeno históricos de incidentes eu consigo ter "base de situações passadas ou erros conhecidos" e consequentemente me preparar para ao futuro, prevendo ações corretivas e sabendo como agir caso a história se repita. Posso saber que no verão, o risco de deslocamentos de terra é maior, razão pela qual precisarei de estratégias assertivas para que este evento futuro e incerto seja repudiado ou no mínimo tratado. Crio então um plano de contingência, onde defino como deverá ser a comunicação, apoio e operação durante um incidente. Na mina uma fenda com 7 centímetros de diâmetro foi aberta e por ela é que todo o suporte aos mineiros está sendo realizada. Uma decisão acertada e tomada no tempo adequado, certamente fruto do estudo de casos passados semelhantes. Os mineiros foram muito perspicazes em definirem os critérios para ativação do plano de contingência, onde rapidamente desenvolveram os arranjos recíprocos, planos de fortificação (como o pôster da mulher pelada e o jogo de dominó), bem como os responsáveis por colocar em prática cada atividade do plano, com vistas ao objetivo maior: A manutenção da vida, seja a alimentação, a abordagem psicológica, a ventilação, etc. Plano de recuperação de desastres também envolve plano "B", em caso do impedimento dos planos prioritários, como no caso da mina, onde o duto de ventilação poderá ser alargado para servir de resgate.
5) A liderança
Os mineiros podem nem saber a teoria, mas governança (de tecnologia) nada mais é do que o desafio como aplicar liderança, estrutura e processos para que a ti atinja os objetivos de negócios (governança corporativa). Onde temos muitas pessoas envolvidas, sobretudo no tratamento de um incidente catastrófico, é preciso que tenhamos uma matriz de responsabilidades clara e definida, em Governança chamada de matriz RACI (Responsible, Accountable, Consult and Inform), também muito utilizada em projetos. Igualmente, não existe operação ou projeto sem liderança, que pode envolver uma ação, uma mudança ou mesmo a comunicação. Na mina, acertadamente, surgiram as figuras dos lideres, como o religioso e o de comunicação com imprensa. O papel do líder, aqui, é coordenar as atividades e transmitir as necessidades dos mineiros. Na TI não é diferente, onde o líder deve estar em sintonia com a área de negócios e principalmente sensibilizá-la sobre a necessidade de novos processos visando um melhor alinhamento da TI ao negócio. O Líder é o que abraça a causa e define a estratégia de engajamento, cria o "report" e faz com que todos os recursos sejam conjugados para um objetivo comum. Tal ponto foi fundamental para a sobrevida dos mineiros soterrados no Chile.
Conclusões
Tal episódio demonstra claramente que só teoria não é suficiente para que operações, projetos e resposta a incidentes sejam efetivas. A despeito dos catedráticos e amantes da doutrina, o exemplo vem de mineiros, que absolutamente preparados de fato, estão lidando com um incidente grave com absoluta governança e controle, com excelente relacionamento com todos os envolvidos no projeto de resgate. Efetivamente que nada é fácil e o resgate lida com premissas e fatores desconhecidos. Apesar disso, deve-se destacar que a postura destas pessoas tem cooperado contundentemente para ampliar suas chances de sobrevivência. Evidentemente que lições serão tiradas deste fato, e deverão, servir de base para a melhoria contínua de tais serviços, assim como na Governança, onde o alinhamento da ti com o negócio pressupõe o aperfeiçoamento dos serviços (Ciclo de Demming, PDCA), sobretudo, convergindo para que incidentes não mais ocorram, e caso ocorram, sejam rapidamente contingenciados e solucionados em nível temporal aceitável, impedindo o advento do dano, em uma dinâmica constante de "aprender com o erro".
José Antonio Milagre
Advogado e Perito Especialista em Direito Digital
Professor da Pós em Computação Forense da Universidade Presbiteriana Mackenzie
Mais uma vez o Enem, mantido pelo Ministério da Educação é destaque pela péssima gestão de terceiros no que tange à segurança da informação (O primeiro absurdo ocorreu em 2009, com o vazamento dos dados das provas). Dados de estudantes inscritos entre 2007 e 2009 estariam disponíveis para consulta na Rede Mundial de Computadores em 03/04/2010, com informações como RG, CPF, data de nascimento, nome da mãe, perfil sócio-econômico e notas. Especulava-se que a autoria do vazamento seria proveniente de uma das instituições que teria acesso legitimo ao conteúdo através de senha. Os descobridores? Alunos de primeiro e segundo grau de um colégio de São Paulo. Hackerismo? Nenhum, mero acesso aos links indicados no site governamental.
Segundo o INEP (Instituto Nacional de Estudos e Pesquisas Educacionais), tal instituição suspeita teria disponibilizado o "link" com a lista, que foi suspenso imediatamente quando constatado o delito. Tratava-se tais dados de informações confidenciais e restritas a um grupo, as instituições, que faziam uso destes dados nos processos seletivos. Porém, como pode prosperar a tese de que uma empresa poderia ter "vazado" com os dados, sendo que o INEP almeja iniciar uma pericia digital nos arquivos para rastrear a autoria do vazamento?
A história não está bem contada e tudo indica ser falha técnica do site. Ou como a empresa transgressora disponibilizaria o link da lista se a tal tela deveria preceder uma autenticação? Não é possível que imaginássemos uma página do Governo que não se baseasse em autenticações de sessões ou outros mecanismos robustos como criptografia. Mas foi exatamente o que ocorreu: programação insegura, eis que após acesso à página com os dados de inscrição do candidato, o link poderia ser copiado e aberto em outros computadores sem a necessidade da senha, o que é uma precariedade para qualquer técnico de informática ou programador de sistemas que fosse consultado.
E as senhas das instituições, será que tínhamos uma senha para todas? Um absurdo mas tudo indica que sim, pois caso as senhas fossem diferentes para cada instituição seria fácil analisar os logs de autenticação e descobrir qual a instituição negligente, o que não parece ser o caso, eis que até rastreamento de arquivos terá de ser feito na investigação forense digital para apurar a autoria do crime praticado.
Nesta esteira, identificamos inúmeras transgressões pelo MEC, dentre as quais, a que atenta contra as diretrizes do exame, que prevê que os dados fornecidos pelos estudantes são sigilosos e que resultados só podem ser divulgados mediante autorização do candidato. A norma técnica ISO 27001, que trata da gestão da segurança da informação, é arranhada em diversos controles pelo MEC. Além disso, tal postura do MEC fere a Constituição Federal, que garante a todos os cidadãos, dentre os direitos e garantias fundamentais, a proteção a intimidade e vida privada, que sabemos se estendem ao direito de controlar quem pode acessar seus dados e informações.
Considerando que no Brasil invasão ainda não é crime, pessoas que eventualmente divulgaram tais listas poderão responder pelo delito de divulgação de segredo, art. 153 do Código Penal, ou seja, divulgar sem justa causa, informações sigilosas ou reservadas, assim definidas em lei, contidas ou não nos sistemas de informações ou banco de dados da Administração Pública, cuja pena vai de detenção de um a quatro anos e multa. Logicamente que os alunos descobridores não podem e nem devem ser punidos, eis tinham uma mais que justa causa para divulgarem a falha, qual seja, a segurança de 12 milhões de estudantes expostos.
Já caso seja apurado que o vazamento teve a participação de servidores públicos, estes responderão pelo delito de violação de sigilo funcional, previsto no art. 325 do Código Penal, pela conduta de permitirem ou facilitarem mediante atribuição, fornecimento e empréstimo de senha ou qualquer outra forma, o acesso de pessoas não autorizadas a sistemas de informações ou banco de dados da Administração Pública. A pena varia de seis meses a dois anos de detenção.
De qualquer modo, todos os inscritos que tiveram seus dados sensíveis expostos na Internet, independentemente do tempo ou de qualquer utilização indevida por criminosos ou fraudadores, tem o direito de requerer a indenização ao MEC pelo ato da exposição, que violou inúmeras diretrizes e legislações no Brasil. Ademais, os próprios contratos do INEP e MEC prevêem a indenização em caso de vazamento de dados de modo que ambas as instituições deverão se entender sobre as reparações aos alunos, nos termos do artigo 934 do Código Civil.
Com efeito, segundo o Código Civil brasileiro, aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito e tem o dever de indenizar pelos danos causados.
Ademias os alunos poderão provar a negligência praticada pelo MEC com os dados da imprensa, bem como com a propaganda intensiva e ostensiva de segurança feita por representantes do MEC e INEP, inclusive após o incidente, o que reforça ainda mais que tais órgãos asseguravam o que na prática estão longe de ter: segurança da informação. Informações sobre o histórico negativo do MEC em relação à segurança da informação, como o episódio de 2009 do vazamento da provas, também devem ser utilizadas pelos estudantes nos pedidos à Justiça.
O Estado cada vez mais nos solicita informações sensíveis para seus atos, porém deve aprender a custodiá-las adequadamente, impedindo que o vazamento gere danos aos cidadãos, como o nitidamente causado no caso ENEM. Tal indenização que os alunos tem direito na Justiça deve ser o suficiente para compensar os danos causados, mas principalmente, ter efeito difuso, inibidor e educacional, impedindo que instituições como o MEC e INEP sejam mais que negligentes na custódia de dados de cidadãos, mas que principalmente, nunca mais desprezem ou minimizem os danos decorrentes dos vazamentos de informações, danos estes que todos nós bem conhecemos e que são potencializados na Internet.
Como prover segurança para estas relações virtuais entre presos e pessoas do mundo exterior ao cárcere?
Recentemente temos acompanhado notícias relativas à informatização do cárcere que no mínimo nos leva a refletir sobre a influência da sociedade da informação até mesmo àqueles que encontram-se cumprindo penas em presídios. No Distrito Federal, fora anunciado que presos terão um terminal eletrônico para acompanhar o cumprimento da pena, em um sistema chamado SISTJweb.
Ainda em Brasília, o Conselho Nacional de Justiça (CNJ) pretende instalar, o que se tem notícia, a primeira “Vara de Execução Penal Virtual” no País, onde presos terão uma interação com o Judiciário por intermédio dos “Bits”. Antes disso, o interrogatório de presos perigosos por vídeo conferência já é realidade no Brasil.
Aqui, já se discutiu até mesmo o oferecimento de cursos de qualificação à distancia para presos, no âmbito do Ministério do Trabalho.
No prisma Federal, fora anunciado que os detentos poderão receber a, como foi apelidada, "visita virtual" de seus familiares, por intermédio do computador, ou seja, pessoas poderão realizar conexões com penitenciárias para interagirem com presos.
Ao que tudo indica, em breve os presos poderão utilizar a Internet para outras finalidades. Os defensores de tais projetos argumentam que eles contribuem para minimização do preconceito social e favorece a reinserção e ressocialização do detento. Sem questionar tal finalidade proposta, fruto de estudos, a questão é, como prover segurança para estas relações virtuais entre presos e pessoas do mundo exterior ao cárcere? Os que criticam, afirmam que não seria nada confortável que um dia você descobrisse que sua filha está conversando com alguém atrás das grades, preso por estupro.
Hoje, nos presídios, as visitas são precedidas de “body scanners” que revistam os visitantes antes de contato com os presos. O que há de irregular por baixo da roupa é apontado. Agora, e na Internet, será que teremos as mesmas precauções?
Quem garantirá que a Internet não será utilizada para o recebimento de documentos, arquivos ou até mesmo para a troca instruções privilegiadas. Mais, quem garantirá a autenticidade das pessoas que estão do outro lado da comunicação? Lógico que tal celeuma já ocorre hoje com as visitas intimas, onde presos transmitem mensagens e comandam facções da cadeia, eis que a cela não pode ser monitorada. Porém, a revista é feita antes de uma pessoa ter contato com o preso. Agora, na Internet, como fazer “revistas virtuais”, garantindo que o terceiro online, em comunicação com um preso, não tenha em seu computador inúmeros artefatos e informações proibidas? Logicamente, tal revista não será possível!
Grampear os e-mails? Seria a solução, não fosse nossa Constituição Federal, que em seu artigo 5º. Inciso XII, proíbe a interceptação telemática, exceto por ordem judicial prévia.
Realmente, fornecer acesso a Internet a presos seria uma boa idéia, desde que estes aproveitassem as oportunidades educacionais, porém, a questão da segurança não deve ser desprezada, pois a proteção dos agentes e dos presídios estaria em risco se o acesso a Internet fosse concedido aos presos sem qualquer controle. Não podemos nos esquecer que no passado, no Brasil, presos da Polinter no Rio de Janeiro já utilizaram a Internet para criar perfis no Orkut e para troca de informações.
No Reino Unido, onde até o videogame é liberado aos presos, ultimamente em fevereiro de 2010, o ministro da Justiça decidiu pela exclusão de trinta perfis no Facebook de detentos que estavam insultando vitimas pela Internet.
No mundo porém, tudo converge para a liberação da Internet aos presos; Em 2003, nos Estados Unidos, a Lei do Arizona foi revogada no ponto em que permitia os agentes prisionais punirem os presos cujos nomes eram encontrados na Internet.
Já existem, hodiernamente, até sites especializados em apoiar o preso, como o PrisionerLife.com, dedicado a oferecer aos presos nos Estados Unidos oportunidades para se comunicar com o mundo e expandir redes de apoio.
Definitivamente, nossa Lei de Execuções Penais, Lei 7210 de 1984, ao tratar da pena privativa de liberdade, logicamente não tinha condições de prever que a liberdade transcenderia a física e poderia envolver o direito de “ir e vir no ciberespaço”. Se para tal lei, os condenados em regime fechado precisam de permissão para sair de penitenciária, mediante escolta, agora, pela a Internet, estes poderão flutuar por todo o mundo, de dentro do cárcere, eis inimaginável existir uma “escolta virtual”.
Seja como for, o fato é que, ao que tudo indica em breve o preso será informado de seus direitos, entre os quais o de permanecer calado e o de utilizar a Internet” O tempo passará rápido nas celas. Para os ativistas, isto é um direito e não um privilégio de um preso. E você, concederia a Internet a um preso? Será que a privação da liberdade de um condenado deve realmente envolver a restrição à Internet?
(O autor, José Antonio Milagre é professor universitário e advogado especialista em Direito Digital – @periciadigital)
Especialista em segurança digital, José Milagre é um dos principais peritos brasileiros. Advogado especialista em Direito Digital. MBA em Gestão de Tecnologia da Informação. Professor da Pós em Computação Forense do Mackenzie. Coordenador da Comissão de Propriedade Intelectual e Segurança da Informação da OAB/SP 21ª. Subsecção. http://www.twitter.com/periciadigital
Em momento em que a sociedade brasileira discute um marco civil regulatório para a Internet, que em seu texto final a ser enviado para o Congresso, prevê em seu artigo 2º., inciso IV, a neutralidade da rede como uma das garantias do usuário de Internet no Brasil, chamamos a atenção para uma questão que transcende qualquer tentativa legislativa de se garantir isonomia no direito de utilização na Internet.
As blacklists, como são chamadas no mundo digital, são listas mantidas por alguns provedores e serviços, normalmente alimentadas automaticamente e que cadastram endereços IP (Internet Protocol) e domínios de supostos spammers, usuários ou serviços que utilizam a Internet de forma supostamente ilícita ou prejudicial à disponibilidade de serviço de terceiros.
Segundo o Comitê Gestor Internet do Brasil, Blacklist podem ser conceituada como "uma lista de e-mails, domínios ou endereços IP, reconhecidamente fontes de spam. Geralmente, utiliza-se este recurso (blacklist) para bloquear os e-mails suspeitos de serem spam, no servidor de e-mails. Em alguns casos, os filtros configurados no programa leitor de e-mails também podem utilizar blacklists."[1]
Tem-se ainda, em alguns casos, as whitelists, que incluem aparentemente IPs considerados confiáveis, negando a comunicação para qualquer outro IP, ou seja, partindo do pressuposto que todos são suspeitos e criminosos, até prova em contrário. Assim, o usuário lesado deve pedir para se cadastrar em uma whitelist, logicamente comprovando idoneidade digital e preenchendo cadastros com informações variadas (mais uma vez cedendo dados aos provedores). No graylist, por sua vez, a mensagem é posta em espera, sendo recusada temporariamente até ser reenviada pelo emissor. A ideia é que, um spammer dificilmente irá reenviar uma mensagem para o mesmo destinatário (eis ser em regra um software com instruções automatizadas).
Alguns sites [2] permitem que você teste se seu IP está em alguma das principais Blacklists do mundo. Por outro lado, qualquer administrador de um pequeno sistema pode construir uma blacklist e publicá-la sendo que grandes provedores de acesso ou mesmo titulares de programas podem se valer desta informação mais que equivocada. Mas no que isto interfere na neutralidade da rede ou em nossa vida digital?
Imagine que um administrador maliciosamente ou subornado por seu concorrente revolva inserir o IP do seu domínio ou servidor de e-mails em blacklists. Você não terá mais comunicação com clientes e sofrerá muitos danos. Quem garante que a inserção adveio de um processo justo e digno de análise de atividades suspeitas derivadas do seu IP? Mais, quem assegura que uma blacklist não utilizou critérios absurdos ou mais que irresponsáveis para inserir seu IP como suspeito? Quem avalia o que deve ou não ser inserido nestas listas disponíveis na Internet? [3] E quando a Blacklist cobra para retirar seu IP do cadastro? Algumas listas cobram até 50 dólares para remover o IP de um servidor de seu banco de dados! [4]
De modo que, se você não tem técnica para fazer um desvio SMTP, é interessante que conheça o que a lei diz a respeito das blacklists. Primeiramente temos que definir os atores destas transações virtuais:
a) O provedor do usuário, seja de acesso ou serviços, que lhe atribuiu um IP;
b) O usuário que utiliza o IP fornecido pelo provedor para usar seu serviço ou navegar na Internet;
c) O mantenedor da lista negra, provedor que cadastra e armazena IPs com atividades "suspeitas";
d) O programa, browser ou provedor do destinatário, que consulta a lista negra mantida na rede e bloqueia o IP do provedor do usuário remetente.
Inicialmente, quanto à natureza essencial das blacklists, criadas com o escopo de evitar ou minimizar o recebimento de mensagens indesejadas (spam) por usuários de Internet, no Brasil, consigne-se que a Constituição Federal elenca em seu art. 5º., inciso II, dentre os direitos e deveres individuais e coletivos que "ninguém será obrigado a fazer ou deixar de fazer alguma coisa senão em virtude de lei".
No Brasil, não existe lei ordinária proibindo o spam [5], logo, em tese, ninguém estaria obrigado a não enviar as mensagens e, por conseguinte, qualquer medida a fim de cessar tal "liberdade" estampada pelo princÍpio da legalidade, seria uma violação do sagrado direito de liberdade de expressão de ir e vir no ciberespaço, garantia esta também prevista em nossa carta magna.
Ademais, segundo a própria Constituição Federal, igualmente no art. 5º. inciso XXXIX, "não há crime sem lei anterior que o defina, nem pena sem prévia cominação legal". Ora, em uma interpretação sistemática, se o spam não é crime no Brasil, as blacklists seriam uma "pena privada" à usuários, impostas pelo provedores de acesso, sem qualquer previsão legal para tanto. Mais uma vez, a técnica confere aos provedores poderes para figurarem como se fossem juízes de direito ou mesmo legisladores.
Ninguém pode ser sentenciado no Brasil, senão por autoridade competente, e restringir o acesso de usuários à comunicação com outros usuários ou mesmo a difusão de conteúdos por meio de sites, serviços ou mensagens, configura-se nítida pena nascida na tecnologia da informação, decorrente de uma decisão unilateral de provedores, sem um devido processo prévio, restringindo o acesso de usuários à livre informação e menosprezando inúmeros princípios legais vigentes no Brasil. Não podemos complacitar desta dinâmica!
Neste cenário, quem indevidamente for inserido em blacklist tem direito de exigir a imediata remoção sob pena de reparação pelos danos morais e materiais decorrentes da inserção indevida. Muitas vezes, a list está hospedada no exterior e a dificuldade aumenta, porém, em tais casos, pode-se notificar o provedor ou serviço que está consultando tal blacklist para que abra a exceção diante do caso concreto, sob pena de responsabilização civil por danos decorrentes da incomunicabilidade gerada pela consulta a list e aplicação de restrições de tráfego.
O mundo digital nos traz novos direitos, como direito de saber os motivos da inserção de nosso IP em uma blacklist. E, principalmente, se a inserção se deu por erro ou indevidamente temos o direito à desagravo na justiça, independentemente da comprovação do dano, bastando comprovar o nexo causal entre o bloqueio e a conduta do provedor de acesso ou serviços negligente.
Como explanado, quem indevidamente se vê inserido em uma Blacklist tem direito à reparação por parte do mantenedor da lista, por ter inserido sem qualquer critério ou comprovação o IP como suspeito. Igualmente, pode exigir reparação do provedor do destinatário ou do serviço acessado que consultou a list e negou acesso ou requisições, sem sequer ter cautela de validar a list ou escolher listas de credibilidade, preferindo preterir a neutralidade da rede, acreditando em blacklists de provedores "de esquina", tudo sob o pseudo-manto da proteção anti-spam.
Por fim, resta-nos avaliar a responsabilidade do provedor ou operadora de telecom do usuário que se viu preterido de transmitir e acessar informações, eis que o IP da operadora estaria inserido em uma blacklist.
Aqui, deve-se destacar que se o provedor ou operadora de telecom do usuário foi negligente com suas atividades, ou mesmo imprudente na administração da rede, permitindo que seus IPs fossem inseridos em tais listas, se comprovado pericialmente, há o dever de indenizar ao usuário, nos termos do art. 186 do Código Civil Brasileiro que bem dispõe que "Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito".
Não bastasse, estamos diante de uma relação de consumo entre usuário e seu provedor, sob a égide do Código de Defesa do Consumidor (Lei 8078/1990), e este tem o dever de não se utilizar de práticas abusivas, ainda que culposamente, no fornecimento dos serviços. Adicionalmente, resta clara a responsabilidade dos provedores inseridos em Blacklists em relação aos seus clientes, da literal leitura do disposto no art. 14 do CDC, que dispõe que "o fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos".
Ainda, por mais que provedores consignem em contrato que não são responsáveis em face de consumidor pelas inserções indevidas nas listas pretas, tais cláusulas são nulas segundo a Lei, e não resistirão à análise de um Juiz de Direito, diante de um caso concreto, vejamos, da simples leitura do Código de Defesa do Consumidor:
Art. 51. São nulas de pleno direito, entre outras, as cláusulas contratuais relativas ao fornecimento de produtos e serviços que:
I - impossibilitem, exonerem ou atenuem a responsabilidade do fornecedor por vícios de qualquer natureza dos produtos e serviços ou impliquem renúncia ou disposição de direitos. Nas relações de consumo entre o fornecedor e o consumidor pessoa jurídica, a indenização poderá ser limitada, em situações justificáveis;
Com a aprovação do Marco Civil, os provedores que continuarem com estas práticas odiosas e mais que inconstitucionais, também violarão disposição expressa deste ordenamento, que assim dispõe:
Art. 12 O responsável pela transmissão, comutação ou roteamento tem o dever de tratar de forma isonômica quaisquer pacotes de dados, conteúdo, serviço, terminal ou aplicativo, sendo vedado estabelecer qualquer discriminação ou degradação do tráfego que não decorra de requisitos técnicos destinados a preservar a qualidade contratual do serviço.
Destarte, pudemos constatar que estamos diante de uma "justiça paralela" na sociedade digital, sem critérios, prazos, devido processo legal, contraditório ou transparência, excludente, capaz de limitar o sagrado direito de comunicação, informação e dignidade de usuários de Internet, listas repletas de "falsos positivos", muitas vezes, manipuladas por softwares robôs, e o pior, aceitas e levadas a sério por grandes softwares, serviços e provedores, tidas como verdades absolutas, arranhando gravemente qualquer expectativa de uma Internet neutra.
Constata-se, pois, que a obtenção da neutralidade da rede imprescinde de um árduo caminho, já que atravessa questões comerciais e intencionais de provedores, mas também orbita sobre a negligência e imprudência dos mesmos em consultarem listas de pouca credibilidade ou mesmo em consentirem que seus IPs sejam "manchados" no "serviço de proteção ao usuário digital", sem nada fazerem em prol de seus clientes, diga-se, consumidores!
Tal ponto só demonstra as inúmeras questões técnicas que precisam ser enfrentadas antes de se entender que a previsão da "neutralidade" como uma garantia legal irá resolver todos os problemas de preterição ou limitações de tráfego. Sabe-se hoje que as blacklists são até utilizadas como armas para cyberwafare [6], onde não incomum países de primeiro mundo restringirem IPs em nítida "guerra" com países da América Latina e de terceiro mundo. E o pior, nestes casos a lei Brasileira nada pode fazer. Em termos de Direito Digital Internacional, estamos na idade da pedra lascada.
Infelizmente, mais do que discutir se "neutralidade da rede" deve ou não integrar o Marco Civil da Internet brasileira, ansiaríamos por verificar um tema como este previsto em tal legislação, consignando como direito do usuário a criminalização desta odiosa e inconstitucional prática de blacklists abusivas, com urgência, pois tal libertinagem pode em breve se tornar um direito graças a um costume de alguns atores da sociedade da informação, em nítida agressão aos usuários da Internet Brasileira.
Não podemos consentir que em nome do "anti-spam" usuários bons sejam prejudicados, e que tenhamos nossa liberdade e direito de acesso à informação, massacrados por agentes sem credibilidade, os quais a tecnologia lhes atribuiu poder imenso, porém, que não estão, nem nunca estarão, acima da lei! [7]
Especialista em segurança digital, José Milagre é um dos principais peritos brasileiros.
Conquanto comporte inúmeras interpretações em um conceito simplista, a expressão "neutralidade da rede", termo que vem se popularizando com as discussões sobre o Marco Civil Regulatório da Internet Brasileira, está relacionada a ideia de que tudo o que trafega na rede deve ter tratamento igualitário, sempre na mesma velocidade e respeitando condições técnicas.
A questão é há muito tempo discutida no mundo em países desenvolvidos como nos Estados Unidos, onde em 2005, a Comissão Federal das Comunicações revogou a Lei que garantia tal neutralidade, permitindo que empresas provedoras estabelecessem distinções entre clientes. Sem neutralidade, seu site ou conteúdo pode não ser acessado com a mesma velocidade da relativa a outro cliente, tudo, pela regra do "quem pagar mais leva", ou "quem paga mais é mais visto". Como conclusão lógica, uma rede não neutra tende a massacrar os pequenos que buscam crescer com negócios na Internet.
Seria o fim da "long tail" ou do poder que o colaborativo dá aos pequenos na Internet, seja para manifestarem sua opinião, seja para divulgação de conteúdos ou mesmo para vender produtos.
Se nos Estados Unidos a neturalidade da rede foi massacrada pelo Congresso (House of Representatives), em nova votação em 2006, graças ao poderoso lobby das teles, no Brasil, o tema passa a ser mais divulgado graças ao processo de construção do Marco Civil da Internet Brasileira, que elenca, no artigo 2º. do anteprojeto concebido, ao abordar os princípios do uso da Internet no Brasil, a preservação e garantia de tal neutralidade.
Infelizmente, no Brasil não seria difícil derrubar também a neutralidade, sendo que a maior parte dos grandes portais são dos maiores provedores de acesso, de modo que certamente estes pretendem que o acesso a tais portais seja mais rápido e, sobretudo, diferenciado. Além disso, sabe-se que a preterição de tráfego é prática hoje no Brasil, onde determinados serviços como voz sobre IP, jogos online e redes ponto a ponto (P2P), tem velocidade arbitrariamente reduzida pelos provedores. Mas, quem autorizou os provedores a agirem como se fossem donos da Internet?
Na verdade, a argumentação é técnica. Segundo os provedores é tecnicamente impossível manter a neutralidade na rede, considerando a evolução tecnológica, o advento do iminente IPV6 e a internacionalização do provimento de acesso, onde alguém no Brasil poderia obter velocidade superior contratando um servidor do exterior, pagando para tanto.
Por outro lado, o termo "neutralidade da rede" não está maduro para integrar uma legislação no Brasil, pois para uns a neturalidade da rede significa manter a Internet como um ambiente impune, um mundo em paralelo, onde as leis não alcançam ou "interferem"; Para outros, se trata apenas de quesito de ordem técnica, impedindo que cidadãos tenham privilégios em relação a outros na transmissão, acesso e armazenamento de conteúdos, em síntese, que não seja feita "discriminação de tráfego".
Efetivamente, ser "neutra" não significa ser "promíscua" ou ignorar leis, autoridades e o judiciário, como muitos pretendem manter a Internet, um antro de atividades ilícitas, um "monastério" inatingível pela lei. Para outros ainda, diga-se, os provedores de acesso, a "neutralidade da rede" é mais que inconstitucional na medida em que interfere na livre iniciativa que fundamenta a economia livre brasileira. Para estes, assegurar em lei neutralidade significa o fim dos planos de acesso de banda e limite de tráfego mensal, o que destruiria o rentável modelo de negócios ora praticado no Brasil, que nos faz ter uma Internet das mais caras do mundo, e o pior de tudo, péssima em qualidade.
Em nosso sentir, neutralidade não é um princípio, mas sim uma garantia, porém, para coibir abusos interpretativos, deve-se claramente conceituá-la na legislação, pois simplesmente prever o termo no Marco Civil Brasileiro, sem disciplinar situações claras onde os provedores não podem agir segundo suas crenças é, sem dúvida alguma, no mínimo criar uma garantia inócua e não mensurável, que só prejudicará os usuários da Internet noBrasil.
Destarte, esta é a discussão que se trava neste exato momento em que o Marco Civil encerra os debates colaborativos e passa a enviar a redação concebida para o Congresso Nacional, onde tramitará por novo processo legislativo. O debate se acirrou quando um provedor de Internet e telefonia móvel manifestou-se claramente contra a "neutralidade da rede", provocando a reação de muitos usuários de Internet. O fato é que direitos dos usuários na Internet estão em jogo e, no entanto, grande parte da sociedade apenas acompanha inerte o avanço dos debates, como se tais conclusões não lhes afetassem diretamente.
O Marco Civil encerrou seu papel, mas a discussão continua no Congresso, o que esperamos, na mesma sintonia colaborativa proposta pela iniciativa do Ministério da Justiça. É mais do que a hora de todos participarem em um projeto que, se aprovado, terá significativo impacto na vida de todos os brasileiros e é inaceitável que diante de tal estágio envolvendo a tentativa de se regulamentar a Internet no Brasil, que muitos ainda estejam alheios a tais debates, como o da "neutralidade da rede", preferindo relegar a gloriosa oportunidade de exercerem a democracia através da participação ativa, para depois, se verem obrigados a respeitar uma lei que alterará contundentemente seu sagrado direito de ir e vir Rede Mundial de Computadores.
