As blacklists, como são chamadas no mundo digital, são listas mantidas por alguns provedores e serviços, normalmente alimentadas automaticamente e que cadastram endereços IP (Internet Protocol) e domínios de supostos spammers, usuários ou serviços que utilizam a Internet de forma supostamente ilícita ou prejudicial à disponibilidade de serviço de terceiros.

Segundo o Comitê Gestor Internet do Brasil, Blacklist podem ser conceituada como “uma lista de e-mails, domínios ou endereços IP, reconhecidamente fontes de spam. Geralmente, utiliza-se este recurso (blacklist) para bloquear os e-mails suspeitos de serem spam, no servidor de e-mails. Em alguns casos, os filtros configurados no programa leitor de e-mails também podem utilizar blacklists.”[1]

Tem-se ainda, em alguns casos, as whitelists, que incluem aparentemente IPs considerados confiáveis, negando a comunicação para qualquer outro IP, ou seja, partindo do pressuposto que todos são suspeitos e criminosos, até prova em contrário. Assim, o usuário lesado deve pedir para se cadastrar em uma whitelist, logicamente comprovando idoneidade digital e preenchendo cadastros com informações variadas (mais uma vez cedendo dados aos provedores). No graylist, por sua vez, a mensagem é posta em espera, sendo recusada temporariamente até ser reenviada pelo emissor. A ideia é que, um spammer dificilmente irá reenviar uma mensagem para o mesmo destinatário (eis ser em regra um software com instruções automatizadas).

Alguns sites [2] permitem que você teste se seu IP está em alguma das principais Blacklists do mundo. Por outro lado, qualquer administrador de um pequeno sistema pode construir uma blacklist e publicá-la sendo que grandes provedores de acesso ou mesmo titulares de programas podem se valer desta informação mais que equivocada. Mas no que isto interfere na neutralidade da rede ou em nossa vida digital?

Imagine que um administrador maliciosamente ou subornado por seu concorrente revolva inserir o IP do seu domínio ou servidor de e-mails em blacklists. Você não terá mais comunicação com clientes e sofrerá muitos danos. Quem garante que a inserção adveio de um processo justo e digno de análise de atividades suspeitas derivadas do seu IP? Mais, quem assegura que uma blacklist não utilizou critérios absurdos ou mais que irresponsáveis para inserir seu IP como suspeito? Quem avalia o que deve ou não ser inserido nestas listas disponíveis na Internet? [3] E quando a Blacklist cobra para retirar seu IP do cadastro? Algumas listas cobram até 50 dólares para remover o IP de um servidor de seu banco de dados! [4]

De modo que, se você não tem técnica para fazer um desvio SMTP, é interessante que conheça o que a lei diz a respeito das blacklists. Primeiramente temos que definir os atores destas transações virtuais:

a) O provedor do usuário, seja de acesso ou serviços, que lhe atribuiu um IP;

b) O usuário que utiliza o IP fornecido pelo provedor para usar seu serviço ou navegar na Internet;

c) O mantenedor da lista negra, provedor que cadastra e armazena IPs com atividades “suspeitas”;

d) O programa, browser ou provedor do destinatário, que consulta a lista negra mantida na rede e bloqueia o IP do provedor do usuário remetente.

Inicialmente, quanto à natureza essencial das blacklists, criadas com o escopo de evitar ou minimizar o recebimento de mensagens indesejadas (spam) por usuários de Internet, no Brasil, consigne-se que a Constituição Federal elenca em seu art. 5º., inciso II, dentre os direitos e deveres individuais e coletivos que “ninguém será obrigado a fazer ou deixar de fazer alguma coisa senão em virtude de lei”

No Brasil, não existe lei ordinária proibindo o spam [5], logo, em tese, ninguém estaria obrigado a não enviar as mensagens e, por conseguinte, qualquer medida a fim de cessar tal “liberdade” estampada pelo princÍpio da legalidade, seria uma violação do sagrado direito de liberdade de expressão de ir e vir no ciberespaço, garantia esta também prevista em nossa carta magna.

Ademais, segundo a própria Constituição Federal, igualmente no art. 5º. inciso XXXIX, “não há crime sem lei anterior que o defina, nem pena sem prévia cominação legal”. Ora, em uma interpretação sistemática, se o spam não é crime no Brasil, as blacklists seriam uma “pena privada” à usuários, impostas pelo provedores de acesso, sem qualquer previsão legal para tanto. Mais uma vez, a técnica confere aos provedores poderes para figurarem como se fossem juízes de direito ou mesmo legisladores.

Ninguém pode ser sentenciado no Brasil, senão por autoridade competente, e restringir o acesso de usuários à comunicação com outros usuários ou mesmo a difusão de conteúdos por meio de sites, serviços ou mensagens, configura-se nítida pena nascida na tecnologia da informação, decorrente de uma decisão unilateral de provedores, sem um devido processo prévio, restringindo o acesso de usuários à livre informação e menosprezando inúmeros princípios legais vigentes no Brasil. Não podemos complacitar desta dinâmica!

Neste cenário, quem indevidamente for inserido em blacklist tem direito de exigir a imediata remoção sob pena de reparação pelos danos morais e materiais decorrentes da inserção indevida. Muitas vezes, a list está hospedada no exterior e a dificuldade aumenta, porém, em tais casos, pode-se notificar o provedor ou serviço que está consultando tal blacklist para que abra a exceção diante do caso concreto, sob pena de responsabilização civil por danos decorrentes da incomunicabilidade gerada pela consulta a list e aplicação de restrições de tráfego.

O mundo digital nos traz novos direitos, como direito de saber os motivos da inserção de nosso IP em uma blacklist. E, principalmente, se a inserção se deu por erro ou indevidamente temos o direito à desagravo na justiça, independentemente da comprovação do dano, bastando comprovar o nexo causal entre o bloqueio e a conduta do provedor de acesso ou serviços negligente.

Como explanado, quem indevidamente se vê inserido em uma Blacklist tem direito à reparação por parte do mantenedor da lista, por ter inserido sem qualquer critério ou comprovação o IP como suspeito. Igualmente, pode exigir reparação do provedor do destinatário ou do serviço acessado que consultou a list e negou acesso ou requisições, sem sequer ter cautela de validar a list ou escolher listas de credibilidade, preferindo preterir a neutralidade da rede, acreditando em blacklists de provedores “de esquina”, tudo sob o pseudo-manto da proteção anti-spam.

Por fim, resta-nos avaliar a responsabilidade do provedor ou operadora de telecom do usuário que se viu preterido de transmitir e acessar informações, eis que o IP da operadora estaria inserido em uma blacklist.

Aqui, deve-se destacar que se o provedor ou operadora de telecom do usuário foi negligente com suas atividades, ou mesmo imprudente na administração da rede, permitindo que seus IPs fossem inseridos em tais listas, se comprovado pericialmente, há o dever de indenizar ao usuário, nos termos do art. 186 do Código Civil Brasileiro que bem dispõe que “Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito”.

Não bastasse, estamos diante de uma relação de consumo entre usuário e seu provedor, sob a égide do Código de Defesa do Consumidor (Lei 8078/1990), e este tem o dever de não se utilizar de práticas abusivas, ainda que culposamente, no fornecimento dos serviços. Adicionalmente, resta clara a responsabilidade dos provedores inseridos em Blacklists em relação aos seus clientes, da literal leitura do disposto no art. 14 do CDC, que dispõe que “o fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos”.

Ainda, por mais que provedores consignem em contrato que não são responsáveis em face de consumidor pelas inserções indevidas nas listas pretas, tais cláusulas são nulas segundo a Lei, e não resistirão à análise de um Juiz de Direito, diante de um caso concreto, vejamos, da simples leitura do Código de Defesa do Consumidor:

Art. 51. São nulas de pleno direito, entre outras, as cláusulas contratuais relativas ao fornecimento de produtos e serviços que:

I – impossibilitem, exonerem ou atenuem a responsabilidade do fornecedor por vícios de qualquer natureza dos produtos e serviços ou impliquem renúncia ou disposição de direitos. Nas relações de consumo entre o fornecedor e o consumidor pessoa jurídica, a indenização poderá ser limitada, em situações justificáveis;

Com a aprovação do Marco Civil, os provedores que continuarem com estas práticas odiosas e mais que inconstitucionais, também violarão disposição expressa deste ordenamento, que assim dispõe:

Art. 12 O responsável pela transmissão, comutação ou roteamento tem o dever de tratar de forma isonômica quaisquer pacotes de dados, conteúdo, serviço, terminal ou aplicativo, sendo vedado estabelecer qualquer discriminação ou degradação do tráfego que não decorra de requisitos técnicos destinados a preservar a qualidade contratual do serviço.

No mundo, já temos julgados de cortes condenando os mantenedores de Blacklists pelas práticas odiosas e ilegais. Em 2003, em “EmarketerAmerica x DNSBL operators”, na corte de Flórida, inúmeras operadoras de lists foram processadas sob o argumento de atentarem contra a organização do comércio, livre iniciativa e ordem econômica. Em 2006, em “e360 Insight LLC x Spamhaus SPEWS”, a corte norte-americana determinou a Spamhaus a pagar mais de 11 mil dólares pelas inserções indevidas em blacklists.

Destarte, embora tenhamos modestos julgados sobre o tema reprimindo tais atividades, pudemos constatar que ainda estamos diante de uma “justiça paralela” na sociedade digital, sem critérios, prazos, devido processo legal, contraditório ou transparência, excludente, capaz de limitar o sagrado direito de comunicação, informação e dignidade de usuários de Internet, listas repletas de “falsos positivos”, muitas vezes, manipuladas por softwares robôs, e o pior, aceitas e levadas a sério por grandes softwares, serviços e provedores, tidas como verdades absolutas, arranhando gravemente qualquer expectativa de uma Internet neutra.

Constata-se, pois, que a obtenção da neutralidade da rede imprescinde de um árduo caminho, já que atravessa questões comerciais e intencionais de provedores, mas também orbita sobre a negligência e imprudência dos mesmos em consultarem listas de pouca credibilidade ou mesmo em consentirem que seus IPs sejam “manchados” no “serviço de proteção ao usuário digital”, sem nada fazerem em prol de seus clientes, diga-se, consumidores!

Tal ponto só demonstra as inúmeras questões técnicas que precisam ser enfrentadas antes de se entender que a previsão da “neutralidade” como uma garantia legal irá resolver todos os problemas de preterição ou limitações de tráfego. Sabe-se hoje que as blacklists são até utilizadas como armas para cyberwafare [6], onde não incomum países de primeiro mundo restringirem IPs em nítida “guerra” com países da América Latina e de terceiro mundo. E o pior, nestes casos a lei Brasileira nada pode fazer. Em termos de Direito Digital Internacional, estamos na idade da pedra lascada.

Infelizmente, mais do que discutir se “neutralidade da rede” deve ou não integrar o Marco Civil da Internet brasileira, ansiaríamos por verificar um tema como este previsto em tal legislação, consignando como direito do usuário a criminalização desta odiosa e inconstitucional prática de blacklists abusivas, com urgência, pois tal libertinagem pode em breve se tornar um direito graças a um costume de alguns atores da sociedade da informação, em nítida agressão aos usuários da Internet Brasileira.

Não podemos consentir que em nome do “anti-spam” usuários bons sejam prejudicados, e que tenhamos nossa liberdade e direito de acesso à informação, massacrados por agentes sem credibilidade, os quais a tecnologia lhes atribuiu poder imenso, porém, que não estão, nem nunca estarão, acima da lei! [7]

NOTAS:

[1] http://www.antispam.br/faq/#10

[2] Para consultar se seu IP está em uma BlackList acesse http://www.spamblock.com.br/ ou http://mxtoolbox.com/blacklists.aspx

[3] Algumas lists conhecidas são SPAMCOP, SPAMHAUS, SORBS, UCEPROTECT, APEWS, FIVETEN, NOMOREFUN

[4] Relatos de lists que cobram para remoção de ip http://www.vivaolinux.com.br/topico/Redes/Remover-Ip-das-blacklist

[5] Existe no entanto, o código de auto-regulamentação do e-mail marketing, http://www.abemd.com.br/AutoRegulamentacao/AutoRegulamentacaoEmailMkt.aspx, sem poder legal mas considerado uma boa prática a ser adotada por empresas de e-mail marketing.

[6] Entenda “Cyberwarfare” em http://en.wikipedia.org/wiki/Cyberwarfare

[7] A este respeito o Governo poderia manter a “blacklist das blacklists” proibindo que serviços brasileiros consultassem tais listas imaturas na tentativa de frear o spam nacional.

José Antonio Milagre

Advogado especialista em Direito Digital. MBA em Gestão de Tecnologia da Informação. Professor da Pós em Computação Forense do Mackenzie. Coordenador da Comissão de Propriedade Intelectual e Segurança da Informação da OAB/SP 21ª. Subsecção.

http://www.twitter.com/periciadigital
jose.milagre@legaltech.com.br
15-06-2010

 Um novo e-mail falseando a identidade do TSE (Tribunal Superior Eleitoral) passou a circular no último final de semana na Internet. A mensagem, remetida pelo usuário “TSE Eleições 2010”, com e-mail fake noreply@tse.gov.br, possuindo 3kb, convida usuários para conhecerem o programa de mesário para as eleições 2010, através do download de um formulário disponível no falso site do Tribunal:

No entanto, o link fornecido apenas esconde o real site, identificado como fora do País, e utiliza o serviço de links reduzidos ou “short links” ad.vu (Adjix), a seguir exibido:

Ao acessar o site, o usuário recebe uma mensagem para baixar um suposto formulário do TSE, assim disposta:

 Por mais que o usuário tentasse esconder o link onde hospedava o trojan (.scr) identificamos o mesmo quando do download, e lá percebemos que o site www.tse.ag.gp fora criado apenas para hospedar o trojan, que estava lá até o momento do fechamento deste artigo, tendo sido editado pela última vez no dia 01/06:

Na seqüência identificamos que o serviço “ag.gp” é um daemon de hospedagem de sites com php e mysql gratuito, cujo mantenedor está localizado na República Federal da Alemanha. Somente este site teria os logs dos bandidos que estão falseando a identidade virtual do TSE no Brasil.

Já o header de recebimento do e-mail indica como proveniente de um servidor holandês protegido, sem possibilidade de ping (icmp) e que oculta o IP em algumas pesquisas por nameserver, vejamos:

Received: from carmen.reto.nl (carmen.reto.nl [94.126.33.19]) by XXXX

Ao clicar no falso formulário para mesário o usuário receberá automaticamente um arquivo (extrn URLDownloadToFileW) que será executado e permitirá o monitoramento da máquina e de transações financeiras realizadas pelo navegador.

Tal golpe mais uma vez nos induz a reflexão do avançado estágio do cybercime, explorando serviços gratuitos do exterior, que não registram logs, bem como de “short links”, para a prática de crimes, fazendo vítimas no Brasil. A cooperação deverá ser internacional e de nada adiantará Marco Civil se continuarmos a esquecer que a Internet não está adstrita ao território brasileiro.

Recomenda-se aos usuários que receberam que não abram o e-mail o excluindo imediatamente.

Dados para catálogo de perícia forense: Real image checksum do 0004A4CFh, e o Address of Entry Point 00401000

jose.milagre@legaltech.com.br

Não é de hoje que sabemos sobre certos episódios envolvendo espionagem, vazamento de informações e crime organizado dentro do setor público brasileiro. Com a tecnologia da informação, as formas de coleta indevida e difusão das informações facilitaram os crimes digitais, associado ao fato da ignorância de muitos servidores públicos na proteção das informações.

Longe dos pomposos e não tão eficientes órgãos de segurança e inteligência do Governo Federal e dos Estados ricos da Federação, encontramos Estados, Prefeituras e orgãos manipulando informações sensíveis, diga-se, matéria prima para fraudes e golpes, sem qualquer proteção. São dados de concursos, de segurança, arrecadação, licitações, contratos, convênios, imóveis a serem leiloados e outras informações aptas a serem exploradas para a fraude ou exploração ilícita. O resultado é previsível.

No Brasil, o gabinete de segurança institucional apresenta relatos de falhas, como no caso das câmeras do Palácio do Planalto, que não registraram as placas dos veículos que estiveram por lá no início de 2009[1]. Na previdência, a fraude chega a 1,6 bilhões de reais[2], e conta com uso indevido de informações do sistema de óbito de segurados, o SISOB, bem como outras técnicas de uso indevido de dados, o que faz do país um dos que mais possuem “mortos-vivos” do mundo em termos previdenciários. Estamos também entre os campeões de “empresas-fantasma”, aptas a abocanhar licitações do norte a sul do país.

A prórpia Polícia Federal tem sua conduta questionada, no que cerne ao vazamento de informações de inquéritos e outros procedimentos, para a imprensa, televisões e outros privilegiados, o que gerou a indignação do ministro do Supremo Tribunal Federal, Gilmar Mendes, também em 2009 [2], e que também motivou o pacotão da segurança pública que pretende suspender e até demitir o agente que se manifestar sobre investigação que participe ou tenha conhecimento[3]

No centro de São Paulo, é possível comprar senhas para o maior banco de dados da segurança pública do Brasil, o InfoSeg [4], a custo irrisório de 2 mil reais, como já noticiado na mídia brasileira.

Outros entes públicos de nível federal, estadual e municipal já experimentaram a fraude resultado da associação entre maus servidores e particulares bandidos. A epidemia não é só pública, já que estima-se que no Brasil boa parte dos negócios fechados no mercado financeiro tenham como suporte o vazamento de informações[5].

O que o vazamento de informações causa? Dano e desfalque ao erário. Tomemos o exemplo do vazamento de informações que prejudicou uma operação policial no Rio de Janeiro, em 2007, nas favelas do Complexo São Carlos, no Estácio, onde a Polícia pretendia prender 100 pessoas. Um homem foi preso.[6]

Outro exemplo, o vazamento das provas do ENEM em 2009[7]. 500 mil reais era o que o funcionário da gráfica contratada pelo Ministério da Educação queria para fornecer as informações ao Jornal “O Estado de São Paulo”. Resultado? O sabido cancelamento da prova, ato que custou nada menos que 30 milhões ao Governo.

Mais um exemplo, a venda dos caças ao Governo Brasileiro, fato amplamente noticiado em 2009, onde a despeito do termo de confidencialidade estabelecido pela Força Aérea Brasileira (FAB), ficou claro o vazamento de informações sobre o preço ofertado pela francesa Dassault[8].

No Brasil, a Lei 9883/99 institui o Sistema Brasileiro de Inteligência, no âmbito federal, e cria a ABIN. Este sistema é responsável pela coleta e custódia de informações para servir ao Presidente da República em suas decisões. Todos os entes públicos que manipulam informações de interesse nacional compõem o SBI e estão sujeitos ao controle da ABIN. Ora, se existe permissivo legal para o monitoramento e auditoria, porque tantos escândalos?

Não bastasse, sabemos que fora do executivo federal, órgãos públicos municipais e estaduais ainda não atentaram para o risco da negligencia, imprudência ou imperícia na manipulação de informações confidenciais. O Código Penal brasileiro prevê em seu artigo 325 o crime de violação de sigilo funcional também para quem permite ou facilita o acesso de terceiros a sistemas de informações da administração pública, estabelecendo ainda uma pena de reclusão que pode chegar de 2 a 6 anos e multa. Ou seja, ser negligente com sistemas informáticos, na administração pública, é crime!

Já se o funcionário público é quem insere ou altera os dados nos sistemas da administração, pode responder pelo peculato informático, dependendo das circustâncias, será enquadrado nos arts. 313-A e 313-B do Código Penal, com pena que pode chegar a 12 anos de reclusão.

Mas só punição adianta? Efetivamente que não, eis que como verificamos, o peculato informático foi criado em 2000 e nem por isto desestimulou o vazamento de informações públicas e pelo contrário, hoje são os particulares que praticam o crime de exploração de prestígio, ao se valerem das relações com funcionários públicos maléficos, na obtenção de vantagens.

A resposta é a efetiva gestão de segurança da informação, com a implementação de um sistema eficaz e que considere pessoas acima de ferramentas e softwares e leve em consideração que influências internas são as principais responsáveis pelo vazamento de dados na área pública e também privada. Uma pesquisa mais refinada no Google e descobrimos quantos servidores utilizam e-mails do governo para usos privados. Mais, sabemos de casos em que o servidor foi desligado e anos depois ainda detinha privilégios de acesso à rede VPN governamental, agenciando tais informações à seu critério. Documentos privados circulam na internet com timbres oficiais, e que podem ser utilizados por estelionatários para confecção de falsos documentos e aplicação de golpes.

Dados não são validados quanto ingressam nas bases da adminsitração, acordos de confidencialidade não são cumpridos, funcionários não são conscientizados dos riscos, não existem perímetros físicos de proteção de ativos, funções não são segregadas e o pior, em alguns órgãos os gestores públicos sequer sabem quais os ativos informacionais são importantes para a empresa pública, e o quanto devem se esforçar para protegê-los.

Estas, são apenas algumas posturas inerentes à ausência de um sistema de gestão que preze pelos fundamentos da segurança: integridade, disponibilidade e confidencialidade de dados, e principalmente, que seja testado e avaliado periodicamente, por meio de testes de intrusão, engenharia social e outras técnicas homologadas e válidas em segurança da informação.

Se você questionar a um gestor de segurança de um órgão público se ele tem uma ferramenta firewall licitada funcionando em sua área o mesmo afirmará que sim. Agora experimente questionar se ele tem uma política de gestão de continuidade do negócio, ou se adota gestão da segurança no desenvolvimento e suporte de seus sistemas, ou ainda se desenvolveu uma célula de forense digital vinculada a seu time de resposta a incidentes…

As proteções contra vazamentos devem ser objeto de avaliação periódica e a inteligência é fundamental neste ponto. Não acabaremos com o vazamento de informações públicas licitando firewalls, software de segurança e detectores de intrusão, mas aliando a rigorosa legislação brasileira já existente, com técnicas de monitoramento e screening dos funcionários públicos que lidam com informações críticas. A inteligência não deve estar só no âmbito federal, e principalmente, deve sair do papel e ser aplicada. Aquele que manipula informações públicas sensíveis deve estar ciente de que dada a responsabilidade que detém, pode ser auditado, sem que possa evocar a proteção conferida a um cidadão comum, no que tange à privacidade.

Tomemos o exemplo de Portugal onde o Serviço de Informações da República (SIS) e o Serviço de Informações Estratégias, em 2009, assinaram protocolos para a inserção de espiões nos serviços públicos. Mas qual a finalidade desta medida? Simples, combater a criminalidade organizada dentro do Governo, esta, que se vale de informações confidenciais e privilegiadas para movimentar um mercado negro de milhões de euros. Aqui não é diferente.

No Brasil, algumas iniciativas ainda engatinham, mas servem de exemplo para todos os órgãos públicos da Federação, como o projeto de Lei que dispõe sobre o regime disciplinar do Departamento da Polícia Federal e da Polícia Civil do Distrito Federal[9], que institui a chamada “sindicância patrimonial”, destinada a averiguar e identificar servidores que ostentam patrimônio imensamente maior do que o compatível com a função. São medidas que podem auxiliar a redução dos crimes envolvendo vazamento de informações eis que quem tem acesso a informações sigilosas governamentais, com certeza não as cede gratuitamente.

Enfim, demonstramos que o vazamento de informações na administração pública em todas as suas esferas é realidade, motivada e impulsionada pelo vantajoso e lucrativo tráfico de informações e principalmente pela ausência de monitoramento dos ativos de tecnologia da informação e seus respectivos suportes. Igualmente, concluímos que não existe uma solução pacífica e incontroversa para amenização desta patologia, porém sabemos que esta solução passa longe da compra e mais compra de softwares e dispositivos de segurança, e que um caminho pode ser a aplicação da lei, em cotejo com a fiscalização e testes de intrusão para avaliar condutas dolosas e culposas, perícia digital para identificar a autoria de incidentes, além do monitoramento de ex-agentes e a chamada sindicância patrimonial.

Resta pacífico que serviços de inteligência em sua gênese são concebidos no escopo de apoiar a tomada de decisões governamentais, e mais que isso, de proteger ativos das ameaças, sobretudo digitais, antecipando problemas e identificando causadores. Porém, mais claro ainda, fica demonstrado que sem governança, análise de risco, conformidade e monitoramento constante, tais serviços podem se voltar contra o Estado e seus cidadãos, servindo, por ação ou omissão, interesses escusos e criminosos, de sabida alta lucratividade.

NOTAS:

[1] http://www1.folha.uol.com.br/folha/brasil/ult96u613407.shtml

[2] http://www.parana-online.com.br/editoria/politica/news/399422/?noticia=MENDES+COBRA+GOVERNO+POR+VAZAMENTO+SELETIVO+DE+DADOS

[3] http://www.abin.gov.br/modules/articles/article.php?id=825

[4] http://www.youtube.com/watch?v=HA6Jpni03bE

[5] http://montesclaros.com/noticias.asp?codigo=47003

[6] http://aeinvestimentos.limao.com.br/financas/fin38558.shtm

[7] http://ultimosegundo.ig.com.br/brasil/2008/07/22/policiais_civis_fazem_mega_operacao_no_rio_de_janeiro_1460079.html

[8] http://www.jusbrasil.com.br/politica/4112808/dassault-critica-concorrencia-por-vazamento-de-informacoes-e-nega-preco-40-maior

[9] http://www.google.com.br/url?sa=t&source=web&ct=res&cd=3&ved=0CAwQFjAC&url=http%3A%2F%2Fwww.mj.gov.br%2Fservices%2FDocumentManagement%2FFileDownload.EZTSvc.asp%3FDocumentID%3D%257B2E58ED15-CE98-4FAC-81C8-11FCCC7756C5%257D%26ServiceInstUID%3D%257B141E2F28-BFE8-4B1E-85D9-9E6E2AC6DA96%257D&rct=j&q=projeto+cria+a+%E2%80%9Csindic%C3%A2ncia+patrimonial%E2%80%9D&ei=JoNHS4X5N4nN8QbT7dSIAw&usg=AFQjCNGwArL6g6YJjGzGYFWda8E2kNQsWA

Mas o exemplo gritante vem da seção 4 do projeto de Lei do país em tela, que prevê nada menos que  a distribuição, exibição e registro de atos privados e outros atos obscenos e indecentes serão criminalizados.

A lei passa a punir a gravação de vídeos em momentos íntimos entre namorados, ficantes, noivos e casados. Todos sabemos que estes são atos privados que tem causado muitos problemas aos protagonistas das fotos e vídeos, quando do termino de um relacionamento amoroso. As mídias vão para a Internet e é muito complicado removê-las.

O problema é que a lei não limita os “atos privados” a atos sexuais. Ou seja, todos que gravarem, exibirem ou distribuirem atos privados, de qualquer natureza, serão punidos. Isso mesmo, uma reunião da empresa,  um interrogatório, uma escuta telefônica, uma palestra estratégica, um flagra comercial, são apenas alguns exemplos de gravações privadas, e que podem ser consideradas condutas criminosas nas Filipinas, com punição dos respectivos agentes.

Um outro problema é que atos inescrupulosos de governantes podem ser considerados atos privados, moral da história, todo o jornalista que denunciar um ato privado gravado será um criminos digital. É a lei de crimes digitais favorecendo a impobridade administrativa.

Outro problema levantado na legislação Filipina é justamente a perícia digital, eis que a Seção 9 do projeto autoriza uma devassa investigacional nos indiciados, sendo que permite a apreensão de arquivos e o monitoramento completo do tráfego, mesmo que fora do escopo das atividades investigadas, o que pode ferir também a privacidade de terceiros.

Segundo o congressista: “This is dangerous because it gives the government an excuse to justify illegal fishing expeditions against ordinary citizens and allows the wanton violation of the strict requirements in criminal procedure.”

Mas o mais interessante é que o congressista que critica o projeto de lei, também frizou a necessidade de uma consulta pública sobre leis de internet, assim como no Brasil, o que demonstra que o Brasil está no caminho correto para a definição de regras sobre o uso dos meios digitais e Internet.

O país também enfrenta uma onda constante de defacering em sites do Governo, e o legislador entrevistado afirma que a lei não ajudará a reduzir tais ataques, mas sim o investimento em infra-estrutura de tecnologia da informação pública. No Brasil, penso que esta deva ser a linha de ação.

O importante é que os agentes do marco civil saibam aprender com o erro de outros países, como o das Filipinas, que ao não especificar “atos privados” como os sexuais, acabou por ferir gravemente a liberdade de seus indivíduos. Lá, o texto será reexaminado pela casa legislativa. Aqui, não temos mais o direito de errar.

Fonte: http://www.abs-cbnnews.com/technology/01/16/10/young-lawmaker-says-cybercrime-bill-too-vague

Para quem achou que os golpes de “cartões de natal” seriam os últimos do ano, infelizmente, o oportunismo do crime digital demonstra sua faceta! A Mega da Virada, o sorteiro dos 100 milhões da Mega Sena, que ocorre no último dia do ano agora é o “apego” que os cybercriminosos precisavam para tentar extrair dinheiro fácil de pessoas, ainda no ano de 2009.  O E-mail, aparentemente de um conta no exterior, incita o usuário a baixar um arquivo apostador.exe ou feliz2010.zip, que na verdade é um código malicioso que permite que senhas e dados bancários e pessoais sejam capturados.

Recebemos a mensagem encaminhada de um cliente e também detectamos a atividade em nosso honeypot. Novos e-mails foram remetidos nesta manha de 29 de dezembro. Descompilamos o “ZIP” e na verdade se trata de código executável Win32, portando, sequer abra o arquivo supostamente compactado.

Fique atento e jamais abra e-mails desta natureza, tenha o bom anti-vírus e não aposte nada pela Internet. O Site oficial das Loterias é http://www1.caixa.gov.br/loterias/index.asp

O título mais que chamativo, nos revela um dos principais golpes que nascem com o uso das novas tecnologias e telefonias móveis, praticados no Brasil, a despeito de muitos que não “podem acreditar” que alguma pessoa, no pleno uso e gozo de suas sanidades mentais, pudesse cair no conto do cartão pré-pago, o fato que é esta modalidade se demonstra extremamente exitosa, sobretudo em vítimas da terceira idade ou que desconhecem tecnologia da informação.

A abordagem vem de diversas formas, desde uma simples mensagem SMS a uma ligação onde o criminoso, na grande maioria das vezes lotado no “setor de telemarketing do cárcere privado”, pasmem, de dentro de cadeias, e portando um terminal móvel que não deveria lá estar, aplica as fraudes com uma destreza, comunicação, desenvoltura e frieza inenarráveis.

Há tempos discutimos este tema nas Universidades em que ministramos aulas sobre segurança da informação e direito digital, ou seja, como poderíamos reduzir a probabilidade de ataques desta natureza, cientificando sobre ou vedando determinadas práticas junto ao ponto mais fraco da cadeia desta análise de risco, qual seja, as pessoas, milhões de brasileiros com telefonia móvel pré-paga ou que mesmo sem ter um telefone, conseguem comprar um “cartão pré-pago”, sem qualquer autorização ou registro desta atividade.

Pois não é que o legislativo já estava raciocinando sobre o tema, em meio a mensalões, mensalinhos, pizzas e panetones? Pois bem, a redação está estampada no Projeto de Lei 5519/2009[1], de autoria do Deputado Federal Dr. Talmir, do PV de São Paulo.

Segundo a redação do Projeto, em seu artigo 1o., o usuário estará obrigado a exibir a identificação internacional do aparelho (IMEI), no momento que comprar créditos para linhas pré-pagas. Além disso, os créditos devem ser colocados no momento da compra.

Código IMEI dos Celulares: Encontrado no próprio equipamento

Ainda segundo o art. 5o. do projeto, o Estabelecimento que descumprir o disposto na lei poderá se sujeitar a uma multa digamos, módica, de R$500,00 (quinhentos reais). Ademais, os prestadores de SMP (Serviço Móvel Pessoal) passam a ser responsáveis pela não inclusão de créditos em IMEIS cadastrados na Blacklist (Lista negra de dispositivos roubados), um nome que os crackers deram à CEMI (Cadastro de Estações Móveis Impedidas), cabendo às teles à consulta a tal base de dados. Algo já praticado, mas agora documentado por obrigação legal e não meramente regulamentar.

Segundo a justifica do Projeto, o mesmo é pertinente para evitar e dificultar o furto, receptação e o uso de terminais roubados. Ainda prevê que a sociedade está indignada pelo mercado ilegal de terminais móveis. Sem dúvida, um mero acesso em comunidades sociais é o bastante para se constatar o lucrativo comércio de celulares roubados.

Porém, de maneira alguma desmerecendo a nobre iniciativa do Deputado (ou de quem realmente escreveu o projeto), temos algumas considerações que nos inquietam. Primeiro, na justificativa do projeto, poderia ser inserido que hoje em dia a grande maioria dos bandidos presos só estão online e acessíveis graças ao tráfico dos pré-pagos (até porque, no Brasil, não se pode descartar que algum bandido receba sua conta do pós-pago na cadeia!)

Ou seja, todos sabem que para recarregar um celular, não é necessário estar na posse do cartão de recarga ou mesmo apresentar o terminal, bastando conduzir um ingênuo a gastar não mais que trinta reais, sujar seu dedo indicador e raspar a área com o código de recarga. É só isto que os detentos precisam para perpetuarem o “corró 2.0”.

Logo, ao se restringir a compra à recarga imediata ou ao fornecimento do IMEI, se estaria, em tese, dificultando a atividade do bandido, pois seria muito cansativo (em termos, já que eles já estão bem descansados na cadeia) pra ele realizar abordagens do tipo “Olha, para que o senhor possa pegar o seu carro novo de natal, anote um numero imenso que vou lhe falar, agora, corra! Vá até uma banca e compre um cartão pré-pago, fale ao vendedor este número! Depois me ligue novamente, raspe o cartão, e me fale o outro número imenso que existe no cartão!”

Quem cairia num golpe destes?  E por mais que o pobre cidadão mais que desinformado entrasse neste ardil, seria barrado pelo lojista, que lhe falaria que o IMEI fornecido não pode ser carregado. Eureca!

Porém, na justificativa do projeto consolidada, chamamos a atenção para o fato de que mais uma vez, tenta-se legislar sobre tecnologia como se legisla uma “dermarcação de terras”.

Esquece ou desconhece o nobre Deputado que até meus antecessores conhecem técnicas de “Imei change”, ou seja, a possibilidade de se substituir ou alterar o código IMEI de um aparelho, validando-o. Logicamente, que a técnica varia de celular para celular, sendo que alguns exigem cabos, boxes e softwares específicos, outros, permitem a alteração via códigos no teclado (chamada pelos prheackers brasileiros [2] de reprogramação). Aliás, pode-se encomendar este serviço na Internet, rápido e fácil.

Exemplo de softwares utilizados para copiar e regravar IMEIs

Bastaria uma googada para que o R. Deputado descobrisse que a segurança orientada à IMEI é de longe conhecida ao “estado da técnica”, existindo na Internet inúmeros Wizards e vídeos ensinando a alteração de tal código, que aliás, é um dos princípios da velha clonagem de celulares.[3]

Alguns programas ainda checam o IMEI novo para ver se ele é válido ou não, tudo, ao alcance de um click. Mas, como criminoso poderá encontrar IMEIS válidos para “esquentar” seu celular roubado? Simples, faça o teste e digite *#06# no seu celular. Agora imagine aquela balada em que você deixa seu celular na mão de cada garota que intentou uma paquera? Segundos podem ser suficientes. Quer mais? Vá agora ver a caixa do seu celular e procure uma etiqueta com o código IMEI? O quê? Você jogou a caixa fora?!

Assim, muito embora a operadora possa bloquear um IMEI online logo após autenticação em uma ERB (Estação Rádio Base), o projeto exige que a base de IMEI esteja disponível para consulta no ato, o que certamente vai onerar muito o processo de venda de cartões para celulares.

Por outro lado, ao exigir que os créditos sejam inseridos no momento da compra, necessariamente, o Projeto põe em Xeque a utilidade dos cartões, e o direito de recarregar a qualquer tempo os celulares, respeitada a validade dos cartões, direito garantido aos usuários, considerando que para tanto bastaria um clique no sistema do vendedor para que os créditos fossem inseridos. Ora, para que diabos o “cartão”? As operadoras até poderão adorar pois neste caso consumo imediato, significa, invariavelmente, mais consumo!

E neste momento vislumbramos outro problema: Como ficarão as banquinhas, resturantes, engraxates, xurupitas e outros que comercializam os cartões? Vão ter que se informatizar para consultar o IMEI dos celulares? Vão ter que investir em equipamentos para recarregar na hora o celular do consumidor? Ou vão sair correndo atrás dos consumidors obrigando-os a inserir os créditos. “Ah, o senhor não saia da minha frente enquanto não raspar este cartão e inserir os créditos, senão eu chamo a polícia!”

Neste cenário, o projeto não é claro se o pretenso comprador de créditos deverá apresentar o terminal ou tão somente informar o IMEI, mas logicamente, não acreditamos que a segunda opção possa ser considerada, por extrema falta de segurança e fiscalização. Ademais, nos termos do projeto, ao ter que inserir os créditos na hora, pode-se imaginar que o comprador necessariamente deva apresentar o equipamento, considerando que tecnicamente, via de regra, os créditos são inseridos no celular o qual a operação é iniciada.

Assim, já podemos imaginar que teremos que exibir nossos celulares para o estabelecimento ou mesmo digitar a função para exibir o IMEI, pois o lojista “mais espertinho”, não irá confiar no IMEI anotado em um papel de pão (que pode ser o IMEI do detento, sedento por créditos). E neste ponto finalizo indagando? Quem garante que o estabelecimento não possa usar meus dados para o crime? Até que ponto teremos que abrir mão de nossa privacidade informática e confiar nosso terminal, que sabe muito sobre nós, ou códigos pessoais, nas mãos de terceiros, tudo sob o argumento da segurança em relação ao furto de celulares?

É realmente tapar uma lacuna e desproteger outra, oferecendo mais dados, dados, informações, que podem ser utilizados pelo cybercrime na clonagem de cartões, como em muitos casos recentes que tivemos contato[4], o que também deveria ser uma preocupação do legislador brasileiro em um pensamento sistêmico.

Resta a nós consignar a interessante iniciativa da proposta, mas que precisa ser fortemente lapidada pelas Comissões de Ciência e Tecnologia, Comunicação e Informática; de Defesa do Consumidor e principalmente, Constituição e Justiça e de Cidadania, sob pena de termos mais uma lei inócua sobre tecnologia prestes a ingressar no ordenamento jurídico.

Enquanto isso, façamos um bom seguro.

NOTAS:

[1] http://www2.camara.gov.br/internet/proposicoes/chamadaExterna.html?link=http://www.camara.gov.br/internet/sileg/Prop_Detalhe.asp?id=440407

[2] http://pt.wikipedia.org/wiki/Phreaking

[3] http://www.youtube.com/watch?v=lIoEkbQ_ZvY

[4] http://www.cinform.com.br/noticias/26500

Ao fim de mais um ano temos a época das festas, compras, pesquisas, viagens, mensagens, scraps, tweets, férias e inúmeras outras atividades que são fomentadas. Com a Internet, várias relações entre pessoas passaram a se dar na forma de bits, da entrega de um cartão natalino (e-card) à compra de presentes.

Neste cenário, somado ao crescimento exponencial do comércio eletrônico, que deverá atingir 1,63 bilhão este ano, a preocupação dos especialistas é alertar o consumidor e pessoas em face dos golpes, fraudes e crimes praticados pela Internet ou se valendo de informações nela publicadas. Surgem inúmeras “listas de cuidados”. Porém, ignoram os informativos que o crime eletrônico é mutante e que as técnicas usadas há um ano podem não mais serem as de hoje em dia.

Deste modo, apresentamos com um pouco mais de profundidade, cuidados que pessoas devem ter no uso da Internet na época de festas, de modo a não se tornarem vitimas fáceis de criminosos digitais e suas modernas técnicas.

1) Pishing (Pescaria de senhas): Se receber e-mails estranhos, sequer abra!

Nesta época é comum o envio de e-mails natalinos e gifts cards eletrônicos. Ao contrário do que pregam, para não se clicar em arquivos em anexo às mensagens, a orientação aqui é, se possível, sequer exibir ou ler o e-mail. Crackers tem utilizado técnicas de páginas dinâmicas onde a simples “exibição” do e-mail pode conduzir ao download transparente de um backdoor ou malware, que permitirá o controle total da máquina.

E-mail não é tudo! Tome cuidado com o Twitter, pois criminosos digitais estão criando mensagens com urls (links) maliciosas embutidas [1]. O efeito é o mesmo dos e-mails, porém as pessoas que usam o Twitter não possuem a mesma preocupação.

Ainda, esqueça esta história de que você não pode clicar em arquivos executáveis. A verdade é que você não pode clicar em qualquer arquivo que desconheça, ainda que um simples arquivo de texto. Um arquivo .pdf, por exemplo, pode conter código embutido que violará sua privacidade informática rapidamente e de forma imperceptível.

2) E-commerce:     “Cadeado” e “Https” não significam segurança.

A dica já “passada” aos internautas que almejam comprar pela Internet na época de festas é, observe um “cadeadozinho” na barra de status do seu navegador e verifique se a URL (endereço) da página onde você vai fornecer seus dados apresenta um protocolo ou os dizeres “https//”. Isso não quer dizer nada hoje em dia! O crackerismo avançado tem se valido de “fake digital ceritificates”[2] para falsear aspectos visuais muito informados por sites e empresas como característicos de “certificado digital” ou “segurança da transação”. Assim, o site pode até ter os elementos visuais (“cadeado e https”), mas o certificado é falso e muita vezes vencido. A dica é, abra o certificado, e constate dados de validade, a autoridade que o expediu e principalmente, para quem foi expedido.

No mais, valem as dicas básicas de jamais acessar sites de e-commerce por links, não realizar compras pela internet de lan houses, utilizar ferramentas que detectam monitoradores de teclado, keyloggers, testar a segurança do site digitando inicialmente dados incorretos, observar os processos do sistema em execução, e principalmente,  verificar o CNPJ da empresa que mantém o site e optar sempre por compras onde se paga somente no recebimento. Comprar de pessoas físicas? O risco é seu.

Ainda, é possível nos Correios, em caso de compras via Sedex à cobrar, abrir a mercadoria na frente do atendente, para se constatar eventual fraude, bloqueando no ato o pagamento. (mediante insistência e jeitinho brasileiro).

3) Páginas comprometidas: Jamais aceite, concorde ou pressione “ok” ou “run” em caixas de diálogo ou janelas pop-up de sites.

Como dito, o crime eletrônico não é mesmo do ano passado e não será o mesmo o ano que vem, ao passo que, se no ano passado o usuário precisava abrir o anexo de um e-mail para se infectar, hoje basta acessar seu site favorito. Sim, criminosos digitais avançados utilizam técnicas de “code injection” e implantam dentro de um site autêntico, um comando ou instrução maléfica, que pode infectar o computador do usuário (ou milhões de usuários) que o acessar.

A detecção é complexa, eis que o site é realmente autêntico, mas possui um pequeno fragmento de código malicioso. A orientação é, após acessar o site, jamais clique ou confirme instruções que surgirem em uma caixa de diálogo ou janelas pop-up na tela. Na dúvida, force o fechamento do site. Configure seu browser (programa navegador) para não executar scripts ActiveX ou para perguntar antes de qualquer execução.

E se o site realmente usa “pop-ups” (janelas) para interagir com os usuários? Azar o dele, por não contar com uma equipe competente de webmasters.

4) Superexposição: Ninguém quer saber para onde você vai viajar nestas férias!

Ninguém entra em comunidades sociais senão para se expor não é mesmo? O fato é que a brisa das festas potencializa esta conduta automatizada dos brasileiros de “superexposição”. Resultado? Engenheiros sociais e crackers estelionatários utilizam estas informações para o crime.

Este ano tivemos contato com casos onde o criminoso utilizou fotos do TweetPic (que permite que pessoas postem fotos em tempo real de onde estão ou sobre o que estão fazendo), para tentar extorquir a família de uma adolescente. Em outro caso, o cidadão postou no Twitter (Microblog) que iria viajar, e sua casa foi assaltada! [3] A dica é, minimize informar seu paradeiro nas festas ou fotografar lugares em que se encontra, pense que o criminoso digital pode estar neste exato momento capturando as informações para aplicar um golpe.

Jamais viaje para pousadas, chalés, ou apartamentos que reservou na praia sem antes checar os dados físicos do proprietário, ou com base em meros contatos via e-mail. Você pode pegar quilômetros de estrada e ainda dar de frente com criminosos. Em locais desconhecidos, cuidado ao acessar internet de hotspots ou redes wireless desprotegidas; O que a princípio pode parecer uma falha da segurança de TI do local, pode ser na verdade um roteador ou TAP preparado especialmente para capturar dados de turistas, inclusive financeiros. Criptografe seu disco rígido nas férias, para que em caso de roubo ou furto, dados não possam ser lidos facilmente. Existem excelentes ferramentas disponíveis na Internet[4].

5) Derrubar sistemas: Tem época melhor?

Por fim, a última recomendação vai para os administradores de serviços de TI, profissionais de segurança e hackers éticos. Temos identificado a criação de inúmeros “Malware exploitation Kits” [5] confeccionados especificamente para o Natal! Assim, estas ferramentas podem desde apenas farejar dados confidenciais a até mesmo executar um DOS (Denial of Service) nos servidores, tirando serviços, bancos de dados e sites do ar. Milhares de sites sofrerão varreduras. Isto é um fato! Seu site ou serviço será testado e sabatinado à diversas técnicas de intrusão. E onde você estará neste momento? Em casa, comendo panetone? Infelizmente, ser hacker ético ou profissional de segurança implica em não ter direito a férias em momentos em que todos podem assim gozá-las.

Para os administradores de e-commerce, sabe-se que a época de Natal é o pico de fraude de crédito, então, audite os dados dos clientes que se cadastram em seu site, e desconfie de cadastros duplicados ou inconsistências de padrões de consumo. Para não ter problemas judiciais relativos a compras indevidas mediante furto de “id”, registre o IP (Internet Protocol) de conexão dos consumidores e detecte conexões fora do “padrão”.

A dica é, reforce o monitoramento, teste agora seu plano de recuperação e continuidade, analise logs (registros) e conheça as técnicas e ferramentas crackers anunciadas para a época.[6]

Sabe-se que é uma tradição cracker trabalhar em épocas onde ninguém está trabalhando, e se você realmente pensa que pode desligar-se dos seus sistemas nesta época, sinto muito, e prepare-se para a multa da quebra do SLA (Acordo de nível de serviço)!

Com estes cuidados adicionais, aliado ao que comumente é ponderado por empresas de segurança e sites de tecnologia, usuários e empresas poderão acrescentar um grau a mais de segurança nas relações de fim de ano envolvendo, de alguma forma, a tecnologia da informação, o que, embora não mitigue, poderá reduzir significativamente a possibilidade de se tornarem vítimas das novas técnicas cracker, e o pior, bem na época das festas.

NOTAS:

[1] http://www.cnn.com/2009/TECH/06/21/cyber.crime.internet/index.html

[2] http://www.codinghorror.com/blog/archives/001024.html

[3] http://www.infomaniaco.com.br/noticias/o-cara-roubado-aps-informar-no-twitter-que-estava-de-frias/

[4] http://www.truecrypt.org/

[5] http://blogs.zdnet.com/security/?p=2217 http://www.mail-archive.com/cybercrime-alerts@topica.com/msg00118.html

[6] http://www.techshout.com/security/2009/23/mcafee-lists-out-twelve-cybercrimes-of-christmas/

A internet é um importante meio de comunicação, que rompe fronteiras, além de ser uma forma de transmissão de informação com um vasto poder de abrangência, bem como um custo muito baixo, em oposição a TV e rádio. Funciona como campo livre, e dá notoriedade a algo ou alguém de forma bastante eficaz.

A publicidade a vê como um potencial de marketing. Isso foi o suficiente para que a propaganda eleitoral buscasse na internet um alcance muito maior na divulgação de suas idéias e na captação de sufrágio. Sobre o assunto, ALMEIDA, proferiu as seguintes palavras:

“Assim, a Internet tornou-se um importante meio de interação entre as pessoas, que hoje podem comunicar-se instantaneamente a partir de qualquer lugar do planeta.

Nesse contexto, surgiu uma nova plataforma “e-leitoral“, onde a facilidade para transmitir informações e o baixo custo tem conquistado um grande número de candidatos que desejam utilizar a Internet para se promover e suprir o resumido espaço de tempo que lhes é destinado no rádio e na televisão.“^[1]

A propaganda eleitoral é uma ferramenta publicitária de divulgação das pretensões dos candidatos num período determinado de tempo denominado campanha eleitoral e é a forma dos eleitores obterem mais informações de seus currículos, suas propostas e/ou mensagens. Ela visa influir no poder decisório do eleitorado.^[2]

Ela, em relação aos meios mais comuns de mídia, está disciplinada na legislação, com o objetivo de preservar o mínimo de igualdade entre os postulantes ao mandato. É o que a Lei das Eleições visa adequar em diversos dispositivos, buscando a atuação da imprensa no período eleitoral, e proibindo, antes de 5 de julho, a propaganda eleitoral (art. 36, parágrafo único c/c art. 57-A referente a internet da Lei nº 9.504/97).

Em que se pese a relevância da discussão, as modificações decorrentes da propaganda eleitoral geraram muita polêmica. Exímia importância teve a aprovação no Congresso da liberdade de expressão na internet, sendo liberada o uso da rede para a propaganda eleitoral e a arrecadação de recursos.

As páginas da internet deverão ter seus endereços comunicados à Justiça Eleitoral, hospedado em provedor no Brasil e ainda pertencer a coligações, partidos políticos ou candidatos. A propaganda eleitoral na Internet pode ser desenvolvida em qualquer das espécies lícitas existentes para esta modalidade.

Podem ser elas os sites ou sítios ^[4] (Páginas eletrônicas da Internet), e-mails ou electronic mails (mensagens eletrônicas destinadas a caixas postais virtuais particulares) e ainda os blogs (sítios cuja sua estrutura permite a rápida atualização de artigos), redes sociais (relações entre pessoas, no qual o computador faz a mediação) e mensagens instantâneas. Assim dispondo a Lei:

Art. 57-B. A propaganda eleitoral na internet poderá ser realizada nas seguintes formas: (Incluído pela Lei nº 12.034, de 2009)

I – em sítio do candidato, com endereço eletrônico comunicado à Justiça Eleitoral e hospedado, direta ou indiretamente, em provedor de serviço de internet estabelecido no País; (Incluído pela Lei nº 12.034, de 2009)

II – em sítio do partido ou da coligação, com endereço eletrônico comunicado à Justiça Eleitoral e hospedado, direta ou indiretamente, em provedor de serviço de internet estabelecido no País; (Incluído pela Lei nº 12.034, de 2009)

III – por meio de mensagem eletrônica para endereços cadastrados gratuitamente pelo candidato, partido ou coligação; (Incluído pela Lei nº 12.034, de 2009)

IV – por meio de blogs, redes sociais, sítios de mensagens instantâneas e

assemelhados, cujo conteúdo seja gerado ou editado por candidatos, partidos ou coligações ou de iniciativa de qualquer pessoa natural. (Incluído pela Lei nº 12.034, de 2009)

A mini-reforma trouxe com ela mais segurança para candidatos, partidos e sociedade no uso da internet, visto que demonstra um cuidado com a propaganda caluniosa, difamatória, injuriosa, mentirosa e campanha de baixo nível. É previsto multas, veto ao anonimato e direito de resposta para combater as práticas de propaganda irregular. A lei, como se vê in verbis:

Art. 57-D. É livre a manifestação do pensamento, vedado o anonimato durante a campanha eleitoral, por meio da rede mundial de computadores – internet, assegurado o direito de resposta, nos termos das alíneas a, b e c do inciso IV do § 3o do art. 58 e do 58-A, e por outros meios de comunicação interpessoal mediante mensagem eletrônica. (Incluído pela Lei nº 12.034, de 2009)

Sobre o direito de resposta:

Art. 58. A partir da escolha de candidatos em convenção, é assegurado o direito de resposta a candidato, partido ou coligação atingidos, ainda que de forma indireta, por conceito, imagem ou afirmação caluniosa, difamatória, injuriosa ou sabidamente inverídica, difundidos por qualquer veículo de comunicação social.

§ 3º Observar-se-ão, ainda, as seguintes regras no caso de pedido de resposta relativo a ofensa veiculada:

IV – em propaganda eleitoral na internet: (Incluído pela Lei nº 12.034, de 2009)

a) deferido o pedido, a divulgação da resposta dar-se-á no mesmo veículo, espaço, local, horário, página eletrônica, tamanho, caracteres e outros elementos de realce usados na ofensa, em até quarenta e oito horas após a entrega da mídia física com a resposta do ofendido; (Incluído pela Lei nº 12.034, de 2009)

b) a resposta ficará disponível para acesso pelos usuários do serviço de internet por tempo não inferior ao dobro em que esteve disponível a mensagem considerada ofensiva; (Incluído pela Lei nº 12.034, de 2009)

c) os custos de veiculação da resposta correrão por conta do responsável pela propaganda original. (Incluído pela Lei nº 12.034, de 2009)

Assim, a propaganda eleitoral feita pelos meios de comunicação convencionais (rádio e TV) manteve sua legislação, dividindo espaço com a internet, devido ao fato desta ter se tornado um importante meio de propaganda eleitoral. Através da mini-reforma da Lei das Eleições, a rede mundial de computadores passou a ser regulamentada, mesmo que de forma genérica.

O uso da internet demonstra um grande avanço, pois é um democratizador das campanhas, facilitando a aproximação entre representante e representado. Com isso há a promoção de um maior diálogo entre as partes e um incentivo a participação política de toda a população, vez que diminui o custo das campanhas. Há ainda o cuidado de manter a liberdade de expressão em sítios e blogs com ressalvas ao direito de resposta e à proibição do anonimato.

NOTAS

¹ ALMEIDA, A. A. L. da C. A Propaganda Eleitoral na Internet. Disponível em <http://www.internetlegal.com.br/artigos/HYPERLINK “http://www.internetlegal.com.br/artigos/>  Acesso”>HYPERLINK “http://www.internetlegal.com.br/artigos/>  Acesso”. Acesso em 25 Set. 2009.

² PORTER, M. E. Vantagem Competitiva das Nações: Estratégia. Rio de Janeiro: Campus, 1990, pgs. 129-134.

³ (DJU, 14-5-1999, p.13.112, Rel. Min. Eduardo Alckmin – GRIFO CONSTA DO ORIGINAL)

⁴ A palavra sítio é usada por um pequeno número de usuários da Internet, não sendo aceita em virtude da já assimilação do termo em inglês site para designar uma página eletrônica.

REFERÊNCIAS BIBLIOGRÁFICAS

ALMEIDA, André Augusto Lins da Costa. A propaganda eleitoral na Internet. Jus Navigandi, Teresina, ano 7, n. 60, nov. 2002. Disponível em: <http://jus2.uol.com.br/doutrina/texto.asp?id=3472>. Acesso em: 24 out. 2009.

MIRANDA, Eduardo Barbosa de. A propaganda eleitoral na internet por intermédio da prática de envio de correspondência eletrônica não autorizada . Jus Navigandi, Teresina, ano 13, n. 2198, 8 jul. 2009. Disponível em: <http://jus2.uol.com.br/doutrina/texto.asp?id=13114>. Acesso em: 26 out. 2009.

MAGALHÃES, Bruno Barata. Propaganda eleitoral na internet e a Consulta nº 1.1477. A engessadura provocada pelo seu não conhecimento. Jus Navegandi, Teresina, ano 12, n. 1.834, 9 jul. 2008. Disponível em: http://jus2.uol.com.br/doutrina/texto.asp?id=11472. Acesso em: 25 out 2009.

http://www.uai.com.br/UAI/html/sessao_3/2009/07/08/em_noticia_interna,id_sessao=3HYPERLINK “http://www.uai.com.br/UAI/html/sessao_3/2009/07/08/em_noticia_interna,id_sessao=3&id_noticia=117948/em_noticia_interna.shtml”&HYPERLINK “http://www.uai.com.br/UAI/html/sessao_3/2009/07/08/em_noticia_interna,id_sessao=3&id_noticia=117948/em_noticia_interna.shtml”id_noticia=117948/em_noticia_interna.shtml. Acesso em: 24 out 2009.

http://www.senado.gov.br/JORNAL/noticiaLink.asp?codNoticia=89258. Acesso em: 25 out 2009.

www.wikipedia.org. Acesso em: 26 out 2009.

http://www.senado.gov.br/JORNAL/noticiaLink.asp?codNoticia=88593. Acesso em: 26 out 2009.

http://www.senado.gov.br/JORNAL/noticiaLink.asp?codNoticia=88775. Acesso em: 25 out 2009.

http://HYPERLINK “http://www.senado.gov.br/JORNAL/noticiaLink.asp?codNoticia=88775http://agencia.tse.gov.br/sadAdmAgencia/noticiaSearch.do?acao=get&id=1222483″.tse.gov.br/sadAdmAgencia/noticiaSearch.do?acao=getHYPERLINK “http://www.senado.gov.br/JORNAL/noticiaLink.asp?codNoticia=88775http://agencia.tse.gov.br/sadAdmAgencia/noticiaSearch.do?acao=get&id=1222483″&HYPERLINK “http://www.senado.gov.br/JORNAL/noticiaLink.asp?codNoticia=88775http://agencia.tse.gov.br/sadAdmAgencia/noticiaSearch.do?acao=get&id=1222483″id=1222483. Acesso em: 23 out 2009.

http://noticias.cancaonova.com/noticia.php?id=274242. Acesso em: 24 out 2009.

http://www.jusbrasil.com.br/legislacao/819344/lei-12034-09. Acesso em: 24 out 2009.

http://www.conjur.com.br/2009-set-04/reforma-propaganda-eleitoral-internet-censura-eleitorado. Acesso em: 23 out 2009.

Lei 12.034 de 29 de setembro de 2009.

MAYARA ALICE SOUZA PEGORER

O futuro nunca foi tão palpável. Se há alguns anos nem sonhávamos com termos como “IP”, “firewall” ou “backup”, hoje estas são palavras que já fazem parte do vocabulário de mais de 39 milhões de brasileiros[1]. Contudo, enquanto a tecnologia avança em progressão geométrica, trazendo situações das mais variadas à vida em sociedade, o Direito segue sua marcha. Então, como resolver este impasse?

No Direito Penal, três são as vias: se utilizar dos tipos já existentes na legislação penal, em interpretação analógica; o posicionamento pela atipicidade das condutas, ante a não correspondência integral com os elementos da descrição típica; e a necessidade de criação de infrações próprias, com descrição típica diferenciada. Enquanto este terceiro caminho não se concretiza (a mercê de inúmeros projetos de lei tramitando no Congresso Nacional, a exemplo do famigerado Projeto trazido pelo Senador Eduardo Azeredo, instituindo o chamado “provedor de conteúdo”, na tentativa de obstar o crescimento dos cibercrimes), de certo que aquele primeiro mostra-se mais viável, condizente com os pressupostos jurídicos e anseios sociais, devendo ser adotado através de uma adaptação ontológica.

Diante de tais considerações, passa-se ao objetivo do presente estudo: analisar a recente decisão do Tribunal Regional Federal da 1ª. Região, no Estado do Tocantins, que atribuiu à Justiça Federal a competência para julgar os crimes contra a honra cometidos via internet em face de Criança e Adolescente.

Insta salientar que os crimes contra a honra cometidos no mundo digital, ainda que não tivessem como vítima pessoa incapaz em razão do critério etário, como no presente caso, já foram objeto de discussão legislativa, através de projeto de autoria do Senador Expedito Júnior (PR-RO), que objetivava a previsão específica de aumento de pena (chegando a ser aprovada pela Comissão de Ciência, Tecnologia e Informação do Senado, no ano de 2008). Contudo, em razão de críticas acerca da liberdade de expressão e da ineficiência do aumento, uma vez que é a certeza da punição que diminui o crime e não sua maior sanção, o projeto foi retirado pelo político[2].

Adentrando mais à situação proposta, de fato, a prática jurídica mostra que os chamados sites de relacionamento tornaram extremamente corriqueira esta modalidade criminosa nos meios cibernéticos e o acesso de usuários cada vez mais jovens só serve de estímulo a sua ocorrência.

De regra, pela ausência de legislação específica, como já referido, estaríamos diante de delito de competência estadual. No entanto, fundamentando tal posicionamento ao caso específico, o Ministério Público Federal pautou-se na Declaração dos Direitos da Criança, incorporada ao direito pátrio por meio do Decreto Legislativo n. 28, de 24/9/1990 e do Decreto n. 99.710, de 21/11/1990, que em seu artigo 16 traz:

ARTIGO 16

1. Nenhuma criança será objeto de interferências arbitrárias ou ilegais em sua vida particular, sua família, seu domicílio ou sua correspondência, nem de atentados ilegais a sua honra e a sua reputação.

2. A criança tem direito à proteção da lei contra essas interferências ou atentados.

Através deste dispositivo, tornando-se signatário da referida convenção de âmbito alienígena, o Brasil estaria se dispondo à proteção da honra infanto-juvenil, devendo lançar mão de mecanismos especiais para tanto.

Ademais, nos ditos “cibercrimes” (não somente no caso apresentado, mas de maneira geral) a consumação delitiva deve ser igualmente avaliada, em face da aplicação da competência territorial, definida do artigo 70 do Código de Processo Penal. A teoria adotada pelo artigo 6º. do Estatuto Repressivo pátrio acerca do lugar do crime é da ubiqüidade, em que “considera-se praticado o crime no lugar em que ocorreu a ação ou omissão, no todo ou em parte, bem como onde se produziu ou deveria produzir-se o resultado”. Questiona-se: onde se produzem os resultados de tais crimes, tendo em vista a abrangência, a extensão do que o nome já diz “rede mundial de computadores”? De certo que um número indeterminado de pessoas terá acesso a essas informações, estando elas nos quatro cantos do planeta, não se limitando seus efeitos às fronteiras nacionais.

Desta feita, ante a plena obediência aos preceitos do artigo 109, inciso V, da Constituição Federal (“Art. 109. Aos juízes federais compete processar e julgar: V – os crimes previstos em tratado ou convenção internacional, quando, iniciada a execução no País, o resultado tenha ou devesse ter ocorrido no estrangeiro, ou reciprocamente;”), não se poderia questionar a competência federal.

Por fim, entendemos que outro argumento que poderia ser suscitado é o princípio da federalização dos crimes graves contra os direitos humanos, calcado no referido artigo 109, inciso V-A e §5º., da Constituição Federal, trazido pela Emenda constitucional n. 45/04 (passando à míngua, é claro, da discussão doutrinária acerca da inconstitucionalidade do referido dispositivo).

Ora, a honra já é bem tão caro no Direito, tanto que mereceu ser listado no rol dos direitos fundamentais (artigo 5º., inciso X, da Carta Magna), que sua ocorrência em meio de proporções astronômicas que é a internet, e ainda em face de infante, já poderiam ser tidas como causas suficientes a caracterizar a gravidade delitiva e o conseqüente deslocamento de competência. Contudo, muitos autores acreditam que seria insuficiente essa colisão com as obrigações internacionais, havendo a necessidade de que o delito se revista de repercussão social, como medida subsidiária em face de descuido ou morosidade por parte da Polícia e/ou da Justiça Federal, uma vez que se trata de medida que enseja a alteração do Juízo natural da causa[3] (como ocorreu no caso da Irmã Dorothy Stang, caracterizado como o primeiro incidente de deslocamento de competência julgado pelo Superior Tribunal de Justiça nesta linha interpretativa restritiva, negando o pedido[4]).

De fato, o legislador deve buscar “suprir” conflitos como o demonstrado no presente caso de todos os meios que dispõe, fazendo prevalecer o princípio constitucional basilar da Proteção Integral, a exemplo da celebrada lei n. 11.829 de 25 de novembro de 2008, que alterou o Estatuto da Criança e do Adolescente, aprimorando meios de combate à produção, venda e distribuição de pornografia infantil e obstando a difusão da pedofilia pela Internet. Frisa-se que, neste caso, também se dá a competência para o julgamento pela Justiça Federal, calcada, da mesma forma, no artigo 109, inciso V, da Constituição Federal.[5]

Ante todas as considerações feitas, conclui-se que a decisão sob análise reveste-se de razão jurídica, encontrando justificativa na legislação e doutrina pátrias, e que situações como esta tendem a ocorrer com maior freqüência e maiores proporções, exigindo uma atuação cada vez mais efetiva do Estado-Juiz, até que sobrevenha legislação específica, reinstaurando a tão buscada “segurança jurídica”.

BIBLIOGRAFIA

BAHÉ, Marco. Sobre o Projeto de Cibercrimes do Senador Eduardo Azeredo. Blog Acerto de Contas. Disponível em: http://acertodecontas.blog.br/artigos/sobre-o-projeto-de-cibercrimes-do-senador-eduardo-azeredo/. Acesso em: 03.11.2009.

BRAUN, Daniela. IBGE: 21% dos brasileiros com mais de dez anos acessam a internet. Publicado em 15 de setembro de 2006. Disponível em: http://idgnow.uol.com.br/internet/2006/09/15/idgnotpricia.2006-09-15.5898091643/. Acesso em: 03.10.2009.

GOMES, Luiz Flávio. “Federalização”: o que é isso? Disponível em: http://www.lfg.com.br/public_html/article.php?story=20050228122433147. Acesso em: 03.10.2009.

PACHECO, Denílson Feitoza. Direito processual penal: teoria, crítica e práxis. 5 ed., rev., e atual. com Emenda Constitucional da “Reforma do Judiciário”. Niterói, Rio de Janeiro: Impetus, 2008. 1023 p.

____________. Debate: A pena para crimes contra a honra cometidos pela internet? Disponível em: http://www.safernet.org.br/site/noticias/debate-pena-para-crimes-contra-honra-cometidos-internet-deve-ser-mais-dura. Acesso em: 04.11.2009.

­­­____________. MPF/TO: crime contra honra de menor será julgado pela Justiça Federal. Disponível em: http://noticias.pgr.mpf.gov.br/noticias-do-site/criminal/crime-contra-honra-de-menor-no-tocantins-sera-julgado-pela-justica-federal/. Acesso em: 15.10.2009.

____________. Senador quer pena maior para crimes contra a honra praticados na internet. SUCESU – RS – Sociedade dos Usuários de Informática e Telecomunicações do RS . Disponível em: http://www.rs.sucesu.org.br/noticias/pena_crimes_contra_honra. Acesso em: 03.11.2009.

____________. Projetos de Lei contra cibercrimes no Brasil. Disponível em: http://www.scribd.com/doc/3604559/Projetos-de-Lei-contra-cibercrimes-no-Brasil. Acesso em: 02.11.2009.

[2] http://www.safernet.org.br/site/noticias/debate-pena-para-crimes-contra-honra-cometidos-internet-deve-ser-mais-dura.

[3] Acerca deste entendimento, vide: GOMES, Luiz Flávio. “Federalização”: o que é isso? Disponível em: http://www.lfg.com.br/public_html/article.php?story=20050228122433147. Acesso em: 03.10.2009.

[4] Decisão proferida pelo STJ, 3ª. Seção, IDC n. 1-PA (20050029378-4), rel. min. Arnaldo Esteves Lima, j. 08. jun. 2005, votação unânime, disponível em: http://www.stj.gov.br.

[5] Neste sentido: STF – 1ª T. – HC nº 86.289-6-GO – Rel. Min. Ricardo Lewandowski –              j. 06.06.06 – m.v. – DJU 20.10.06, pág. 62.