Arquivo da tag: Advocacia Direito Digital

Vazam senhas dos principais sites de e-commerce brasileiros: Como se proteger e o que diz o direito digital

Em 17 de julho foi divulgado pelo Tecmundo a notícia de um arquivo disponibilizado via Pastebin, com nome de usuários e senhas para as principais plataformas de ecommerce do Brasil e alguns serviços de hospedagem. Estão na lista Netshoes, Extra, Centauro, Casas Bahia, PagSeguro, Terra, eFácil, Ponto Frio, HostGator etc.

Não se pode afirmar seja autêntica, o fato é que existem aproximadamente 360 logins e senhas e segundo o site o arquivo poder ser uma amostra. Não se trata de um vazamento em massa, porém alguns alertas são válidos. O site não divulgou o arquivo pois logicamente poderia ser utilizado por criminosos.

Ao que parece as contas publicadas estavam desativadas. De qualquer maneira, as vitimas devem diante deste cenário trocar imediatamente as senhas destes serviços. Caso a senha não entre, pode ter sido alterada, momento em que é importante um contato telefônico com as lojas virtuais. É preciso rememorar quais sites online o usuário já comprou e para isso, vale avaliar a caixa de correio eletrônico e outros documentos digitais.

Não se sabe se os dados foram obtidos por meio de phishing scam (e-mails e sites falsos) ou por meio de algum código malicioso nos clientes. Neste sentido, aqueles que perceberem qualquer atividade anômala poderem realizar uma perícia digital em seu equipamento, através de um especialista, de modo identificar a origem de alguma exploração maliciosa. Não é porque conseguiram acesso a conta que hackers poderão comprar produtos, mas no mínimo podem ter acesso a dados cadastrais e em alguns casos sim, acesso a dados cartões de crédito.

De se destacar que diferentemente do Brasil, nos Estados Unidos a lei obriga as empresas a reconhecerem e publicarem os vazamentos de dados. Aqui, o projeto de proteção de dados pessoais trata deste tema, mas longe está de ser uma legislação. As lojas Centauro e Netshoes se manifestaram no sentido de não terem sofrido qualquer ataque, o que leva a crer tenham os dados coletados ou obtidos diretamente dos consumidores.

Logicamente, as vitimas, caso a vulnerabilidade seja nas lojas virtuais, poderão buscar a reparação judicial e a responsabilização das mesmas pelos danos causados, considerando que disponibilizaram um serviço “em tese” vulnerável e que pode ter lesado o consumidor. Por outro lado, se a loja demonstrar em juízo por meio de uma perícia em informática que seu sistema não foi violado, comprovando culpa exclusiva do consumidor ou exploração de vulnerabilidade em seu equipamento, pode não ser condenada a reparar e ser absolvida de um processo ou ação reparatória. A batalha é técnica e consiste em provar quem estava seguro e quem estava vulnerável e quem deu causa ao vazamento dos dados. Um especialista (expert do juízo) pode ser nomeado para solucionar a controvérsia.

Seja como for, para o Direito Digital, sem prejuízo do crime pela obtenção indevida de dados, o acesso indevido por meio login e senha, violando mecanismo de segurança ou autenticação é crime, previsto na lei de crimes informáticos, lei 12.737/2012 (Carolina Dieckman) . É possível, igualmente, medida judicial em face do Pastebin, para que forneça os registros de acesso à aplicação daqueles que postaram o conteúdo. Embora a principio permita colagens anônimas, não se admite que o serviço não registre de alguma forma os dados de conexão de seus utilizadores.

José Antonio Milagre é perito digital. facebook.com/josemilagreoficial

Ainda existirão advogados no futuro?

Oferecimento José Milagre & Associados – Advogado Direito Digital

Tenho observado nas conversas com executivos de negócios e de TI que muitos ainda consideram a Inteligência Artificial (IA), os veículos autônomos e os robôs convivendo entre nós um cenário ainda futurista. Mas já está acontecendo e nem percebemos. Usamos isso cotidianamente em apps e sites de comércio eletrônico que nos sugerem o melhor caminho, o filme que gostaríamos de assistir e o produto que teremos interesse em comprar. Várias empresas de tecnologia estão trabalhando ativamente em tornar a IA mais e mais lugar comum. O recente lançamento do Messenger, do Facebook, com recursos de chatbots é mais um passo nesta direção.

O que o avanço da Inteligência Artificial embute no nosso dia a dia? Uma mudança significativa no futuro de várias profissões. Já aceitamos e convivemos com a realidade de tarefas de baixa qualificação substituídas por automação. Mas e quando esta começa a chegar ao nível dos tomadores de decisão, os “knowledgers workers”?

A realidade está mostrando que a indústria da música, agências de viagem, jornais e agora táxis se transformaram ou estão em processo de transformação. Setores sólidos e tradicionais simplesmente desabaram e tiveram que encontrar novos modelos de negócio para sobreviverem.

Vamos pegar uma tradicional profissão, a advocacia. Uma provocação que podemos fazer é: “ainda existirão advogados no futuro?”. A taxa de acertos em previsões futuristas é mesma de chimpanzés jogando dardos e acertando o alvo, mas podemos debater algumas ideias e tirarmos conclusões por nós mesmos. Claro, desde que não nos apeguemos a crenças e paradigmas que nos limitam o olhar crítico.

Vamos analisar o contexto. As práticas de trabalho dos advogados não mudaram muito nas últimas décadas. Recomendo um livro instigante, “The Future of the Professions: How Technology Will Transform the Work of Human Experts”, que mostra o potencial de disrupção diante de várias profissões como as conhecemos hoje.

O livro mostra que os advogados oferecem assessoria personalizada de alto custo e que os sócios dos prestigiados escritórios presidem organizações em forma de pirâmide, recebendo altas comissões, enquanto batalhões de advogados principiantes fazem o trabalho árduo de buscar precedentes e elaborar contratos. Os altos custos destes escritórios e dos seus honorários propiciam um cenário aberto à disrupções. O livro faz uma comparação simples, com os veteranos taxistas de Londres, que para obterem seu certificado precisavam dominar de memória a geografia das ruas. O serviço era, portanto, caro. E foi rompido pelo Uber, que atraiu batalhões de motoristas que cobram barato e navegam por GPS. Isso não poderá acontecer com os advogados?

Já existem algumas iniciativas muito interessantes, ainda desdenhadas pelos advogados tradicionais, que  podem provocar um efeito Uber nos próximos anos. Por exemplo, a NextLaw Labs, empresa de tecnologia mantida por um escritório global de advocacia, está financiando startups de tecnologia jurídica. Um dos seus primeiros investimentos é uma startup chamada Ross Intelligence, que usa o Watson da IBM para realizar parte das pesquisas feitas atualmente por advogados júnior.

O  “Report: artificial intelligence will cause “structural collapse” of law firms by 2030” é bem acertivo ao afirmar que visualiza em 15 anos um colapso estrutural dos tradicionais escritórios de advocacia, pelo menos em alguns países na Europa e EUA. Alguns exemplos sinalizam que este cenário pode se tornar realidade. Alguns escritórios de advocacia nos EUA já usam Inteligência Artificial como “associado digital”, delegando a algoritmos preditivos a tarefa de executar buscas inteligentes por documentos, pareceres e jurisprudências referentes aos casos em análise.

Interessante que uma análise feita na Europa e EUA, sobre o uso de IA na advocacia, mostra que, salvo raras exceções, não são as tradicionais bancas de advogados, mas novos entrantes que investem no conceito. Vemos que o momento do Uber, Airbnb, Skype e Whatsapp se repete. As empresas estabelecidas tendem a ser conservadores e lutam para preservar seu modelo de negócios.

Enfim, estamos diante de mudanças significativas na sociedade e praticamente nenhuma função ou setor de negócios estará a salvo das transformações. Recomendo ler o texto “The Great Disruption: how Machine Intelligence will Transform the Role of Lawyers in the Delivery of Legal Services”. Ele mostra quais as atividades realizadas pelos advogados estão mais sujeitas à disrupção (busca por documentos, pareceres, criação de formulários, textos e memorandos, e mesmo predição dos resultados das causas em julgamento), como essa disrupção vai afetar o setor como um todo e como, provavelmente, os escritórios de advocacia irão usar seus talentos para combater a inovação.

Há um caso bem interessante de uso de algoritmos preditivos para auxiliar na tomada de decisão em casos que envolvem litígios em patentes, como o desenvolvido pela startup Lex Machina, que analisando dezenas de milhares de casos se propõe a predizer o resultado de determinado litígio.

O cenário conturbado, como o contexto que vemos hoje envolvendo o Uber e os taxistas, certamente vai acontecer quando os escritórios de advocacia sentirem reais ameaças ao seu modelo atual. Mas, alguns entenderão que o processo é irreversível e os vencedores serão os que conseguirem fazer o mix certo entre advogados e tecnologia.

(*) Cezar Taurion é CEO da Litteris Consulting, autor de seis livros sobre Open Source, Inovação, Cloud Computing e Big Data

Revista: CIO

Continue lendo

Esclarecimento aos Advogados: O que fazer diante do erro PETPG-99 no E-SAJ?Esclarecimeto aos Advogados: O que fazer diante do erro PETPG-99 no E-SAJ?

Muitos colegas me ligam ou enviam mensagem sobre o precitado erro. Infelizmente nem o suporte muitas vezes é capaz de informar do que se trata. Se a própria desenvolvedora do sistema não é clara, imagine suportes locais.

Muitas pessoas confundem com o erro AP-99, relativo a “certificados duplicados” e aplicam o procedimento de remoção de certificados da máquina com o “certmgr.msc” aqui explicado.

Ocorre que não se trata do mesmo erro. Algumas subseções ainda informam que se trata de arquivo PDF gerado em programa não homologado ou com mais de 300kb por página. Nada disso!

Infelizmente, nos casos que contornamos o erro, identificamos se tratar de um erro no próprio e-saj, especificamente no cadastro de uma “nova parte” ou “novo advogado”. Nos casos de cadastramento de uma parte ou atualização dos dados das partes, o erro ocorre na hora da assinatura e envio.

Como contorno, a solução que encontramos (até o E-SAJ corrigir o erro) é distribuir o processo com dados desatualizados da parte (usando parte cadastrada, se existir) e posteriormente peticionar requerendo complementação do cadastro ou polo passivo.

Foi o que identificamos como “paliativo”.  Continuamos abismados com o descaso da responsável pelo software, que até o momento não comunica sobre a falha ou mesmo oferece uma orientação clara aos advogados sobre o que fazer diante deste erro e outros como AP-44, PETPG 35, etc. Aguardamos respostas da desenvolvedora sobre nossas cobranças envolvendo a descrição das falhas e procedimentos a serem tomados pelos Advogados diante dos erros reportados.

José Antonio Milagre, Presidente da Comissão de Direito Digital e Processo Eletrônico da OAB/SP Regional da Lapa.

Entenda o que é o assinador Shodô do PJe, novo e-SAJ e o que mudará no peticionamento eletrônico brasileiro.

José Antonio Milagre – 14/02/2017

Inscreva-se no meu canal no Youtube. Vídeos semanais sobre Direito Digital e Informática Juridica!

Os militantes da Justiça do trabalho estão se deparando recentemente com avisos sobre uma nova forma de assinar documentos no PJe, de nome “Shodô” (“a arte da caligrafia”, em japonês). Mas afinal, o que é este aplicativo e no que ele é diferenciado?

O Shodô é uma aplicativo de assinatura para Justiça do Trabalho que nasceu considerando a descontinuidade e necessidade de substituir a tecnologia mais antiga usada para assinatura digital, denominada Applet. Os Applets fazem a interface do usuário para a digitação do PIN e reconhecimento do certificado digital.

Ocorre que, no caso específico, os navegadores estão descontinuando (alguns já descontinuaram) o suporte a Applets e o que restava ao usuário era a troca de navegador. Um exemplo é o Firefox que só pode ser usado no PJe, para quem usa assinador com base no Java, até a versão 41. Ou seja, advogados tinham que ficar desatualizando seus sistemas ou baixar o navegador PJe feito pelo CNJ em http://www.pje.jus.br/wiki/index.php/Navegador_PJe.

A diferença é que ao contrario da validação do certificado em Java ou Applet, a validação agora passa a ser feita por aplicativo desenvolvido pelo próprio Conselho Superior da Justiça do Trabalho.

O aplicativo pode validar documentos por exemplo, com o PJeOffice, desenvolvido pelo CNJ (disponível na tela de login do PJe). Com o Shodô, espera-se que o usuário possa voltar a usar navegadores até então considerados incompatíveis e até mesmo versões mais novas de navegadores como Firefox, que muitas vezes, se atualizados, tornavam o peticionamento inviável. É possível assinar documentos pelo Shodô diretamente ou pelo PJe Office.

A expectativa é que em 2017 grande parte do PJe migre para nova versão, 1.14. Uma das novidades previstas para o Shodô, é a possibilidade, na versão 15, de uso de certificados modelo A1, ou seja, arquivos de computador que não precisam ser gravados em token ou carteira criptográfica. Hoje a plataforma 2adv (http://trend2adv.com.br/) já permite esta funcionalidade.

O que é interessante é que embora venha para substituir o Applet, o fato é que é necessário o Java para instalar o executável Shodô no computador do Advogado, o que fez com que muitos colegas indagassem se não está-se trocando seis por meia dúzia.

Nesta esteira, sabe-se também quem na Justiça Estadual, alguns sistemas já caminham para substituição de autenticadores de assinatura baseados em Java para aplicações plug-ins próprios, como é o caso do e-SAJ (Usado em vários Estados), cuja empresa anunciou em alguns Estados o Web Signer (anunciado no TJ/SC http://www.sajdigital.com.br/saj-na-midia/web-signer-do-portal-e-saj/) e que permite ressuscitar até mesmo a utilização do Internet Explorer, do mesmo modo, substituindo a leitura de tokens feita em Java, permitindo qualquer versão de outros navegadores. A modificação vem recebendo o nome de “novo e-saj”. Embora a Softplan informe que se trata de um “plug-ins nativo” dos navegadores, não é o que parece das pesquisas que realizamos.

Em São Paulo, a possível mudança chamou a atenção da Comissão de Informática da OAB/SP, que de forma proativa já se manifestou no sentido de requerer um prazo mais confortável para os Advogados. Sob o prisma da segurança, não há duvidas que as medidas de certo modo permitem que Advogados voltem a atualizar seus aplicativos, consequentemente mantendo-se com paths de segurança ativados. Já quanto à segurança das novas aplicações, caberá análises mais aprofundadas.

Se haverá melhorias em termos de funcionalidades, agilidade, acessibilidade e redução de falhas, só o tempo, ou melhor, a Advocacia, é que poderá dizer. Por hora, cabe a nós nos preparar para as mudanças anunciadas.

Referências

Saiba mais sobre a configuração do Shodô para PJe, acessando http://www.trt15.jus.br/programas/pdf/PJE15-ConfiguracaoAssinadorShodo.pdf

Assista um vídeo sobre o Shodô feito pelo CSJT em:
https://www.youtube.com/watch?v=nc7v09RP6cU

Acesse: Facebook.com/professormilagre 

José Antonio Milagre é Advogado, Mestre e Doutorando em Ciencia da Informação pela UNESP, MBA em Tecnologia da Informação e Presidente da Comissão de Direito Digital e Processo Eletrônico da OAB/SP Regional da Lapa.

Inscreva-se no meu canal no Youtube. Vídeos semanais sobre Direito Digital e Informática Juridica!

7 erros jurídicos que startups cometem e podem pagar caro

O ciclo de uma startup é comum para todas empresas nascentes: da ideia à execução. Pouquíssimos são os empreendedores que se preocupam em moldar sua estrutura jurídicas desde o momento zero, quando ainda se pode evitar prejuízos futuros (jurídicos, societários, consumeristas, regulatórios, e outros).

Portanto, pelo bem de sua startup, confira 7 grandes erros jurídicos que empreendedores cometem durante a execução daquela ideia brilhante!

Leia matéria completa em: http://exame.abril.com.br/pme/7-erros-juridicos-que-startups-cometem-e-podem-pagar-caro/

Direito Digital ganha espaço no mercado

Leia mais em: Depois da ascensão do Direito Digital no mercado de trabalho e na vida das pessoas, a idéia de uma terra sem lei ficou restrita aos filmes de bangue-bangue. Esta área do Direito, que mesmo sem legislação definida tenta colocar ordem no meio virtual e garantir segurança para os internautas, virou uma boa opção para quem escolheu ser advogado.

José Antonio Milagre, Escritório de Advocacia Especializado em Direito Digital

Advogados de Direito Eletrônico e Internet em São Paulo (SP)

É um campo do Direito que se propõe a estudar aspectos jurídicos do uso de computadores e da tecnologia da informação em geral, com fundamento no crescente desenvolvimento da Internet e na importância da tecnologia da informação e da informática nas relações jurídicas, sendo por isso, uma nova área do estudo do Direito.

Conheça o diretório do JusBrasil: https://www.jusbrasil.com.br/advogados/direito-digital-sp-sao-paulo/

José Antonio Milagre é Advogado Especialista em Direito Digital

A profissão do futuro: Como ser um perito digital

Reconstruir o passado, constatar a materialidade e apurar a autoria de incidentes cometidos com o requinte dos bits. Esta é a função da perícia digital ou forense digital, carreira que mescla a formação jurídica com a tecnologia da informação e que é crescente na esfera pública e privada, à medida em que conflitos, fraudes, furtos e agressões passam a ser cometidas por intermédio de dispositivos informáticos e telemáticos, de um computador de mesa a um dispositivo móvel celular.
A ciência que tem em torno de quinze anos no país, destinada inicialmente a auxiliar a criminalística na apuração de crimes eletrônicos, no Brasil, passa a ser considerada também uma área corporativa afeta à segurança da informação, governança, risco e conformidade, dado o número crescente de fraudes informáticas cometidas por colaboradores de empresas.

Continue lendo

Procedimento usado pelo FBI para desbloquear o iPhone vaza na internet

No ano passado, a Apple e o FBI entraram em pé de guerra porque a empresa de tecnologia se recusou a ajudar a desbloquear o iPhone do atirador de San Bernardino. Depois de meses de briga, o FBI acabou contratando a empresa israelense Cellebrite que tinha um método para extrair dados do smartphone. Continue lendo

Perícia forense avança em recuperação de dados e conversas do WhatsApp

Como investigadores podem extrair informações úteis de uma das principais aplicações sociais existentes? O WhatsApp utiliza o protocolo XMPP para intercambiar dados pela Internet. Alguns trabalhos que se propõe a enfrentar o tema da perícia forense em WhatsApp são:

a) “Forensic Analysis of Instant Messenger Applications on Android Devices.” Mahajan, Aditya, M. S. Dahiya, and H. P. Sanghvi. (2013) O projeto aborda além de outros aspectos a extração de mensagens da memória RAM

b) WhatsApp Extract 2.0, desenvolvido por Francesco Picasso. Ferramenta que tem capacidade de desencriptar e organizar conteúdos de arquivos SQlite, organizando em um conteúdo HTML. A ferramenta explora O WhatsApp Database Encryption Project que detecta uma conhecida vulnerabilidade na implementação no Android da Criptografia AES

As aplicações Android são escritas em linguagem Java e o Android SDK compila o código em um arquivo .apk. Aplicações em android são normalmente instaladas em /data/data/nomedopacote. Quando um telefone com WhatsApp é ligado o processo “com.whatsapp” recebe um sinal para iniciar o acesso a mídia externa e os serviços de mensagem.

Todas as mensagens trocadas são armazenadas em msgstore.db e wa.db que são bancos de dados SQLite. A grande observação é que estes bancos são carregados na memória RAM do aparelho para maior performance. Este conteúdo pode persistir na RAM por mais tempo do que se imaginava.

Pesquisas demonstram que a menos que um processo de alta prioridade assuma a sobrescrição, a memória RAM funciona como uma verdadeira lixeira de dados e deve ser considerada em uma análise forense computacional envolvendo o comunicador WhatsApp.

O backup das conversas quando da troca de aparelho ou chip de dá no sdcard, mas via de regra o arquivo de mensagens fica criptografadas. O banco de dados de mensagens, em backup, é armazenado em /sdcard/WhatsApp/Databases/msgstore.db.crypt

O WhatsApp extract é um script em python que coletando um arquivo encriptado fornece um arquivo msgstore.plain.db como arquivo de saída, fazendo o mesmo com arquivos de mídia e fotos de perfil. Em alguns casos o backup dos dados do dispositivo para o SDCARD é feito diariamente e este conteúdo de mídia, ao contrário das mensagens, não é criptografado.

Interessante é que a tabela de mensagens msgstore.db possui campos “media_url”, “received_timestamp”, “send_timestamp”, “latitude” e “longitude”, o que nos sugere que a aplicação armazena dados de conexão dos remetentes, um identificador único para cada mídia que entra na rede do aplicativo (o que poderia ser usado para bloquear ou rastrear conteúdos ilícitos) e até coordenadas GPS de mensagens.

Para coleta de memória de dispositivos cujo o escopo é investigar conversações WhatsApp, utiliza-se o utilitário Lime, que geram um dump da RAM do dispositivo. Também é possível usar o Volatility ou Memfetch para analisar somente a memória pertinente ao processo WhatsApp.

Após a coleta da memória, pesquisadores propõem o uso de uma ferramenta denominada whatsappRamExtract (THAKUR, 2013) um bash script que cava evidências uteis de um binário de memória. O script pode recuperar números usados no equipamento e até mesmo troca de mensagens, embora qualquer coletador de strings da memória também possa recuperar estes dados. É possível buscar por padrões de strings “@s.whatsapp.net”, e os números telefônicos estarão antes da arroba.

A ferramenta Scalpel por sua vez pode ser usada para coletar medias deletadas mas que passaram pela memória. A conclusão é que atualmente, se um chat é limpo ou uma mensagem é deletada ela é imediatamente limpa da aplicação, mas não completamente limpa da memória.

Assim, as pesquisas atualmente focam suas atividades em mapear quais os dados são recuperados de um disco de um dispositivo sem e com root, da memória persistente, sem e com root, do SDCARD e de dados da memória volátil.

Quanto às tentativas de quebrar a criptografia dos arquivos de dados, alguns artigos informam que o arquivo de chave “key”, embora armazenado em userdata/data/сom.whatsapp/files/ somente em alguns casos poderia ser extraído de dispositivos “rootados”. Atualmente não existem descrições públicas revelando a quebra da criptografia sem o key file.

Para este problema, pesquisadores sugerem a engenharia reversa no WhatsApp para compreender o algoritimo de encriptação. Outros ainda recomendam o uso de mainframes ou nuvem para ataques de brutal force no arquivo criptográfico o que é apontado como uma solução muito cara e inviável (SKULKIN, 2015)

Assim, diante das limitações, a memória volátil passa a ser um artefato de total interesse, no estudo de padrões deixados pelo App na busca de dados excluídos pelos investigados. Percebe-se, como visto, que muitos conteúdos que integram arquivos de bancos de dados do aplicativo, armazenados na memória persistente, se limpos ou excluídos, podem ser encontrados na memória volátil, incluindo contados, mensagens, números telefônicos e em alguns casos, mídias, fotos e vídeos que foram enviados e recebidos.

Referências:

CORTJENS, D.; SPRUYT, A.; WIERINGA, F. C. WhatsApp Database Encryption Project Report. Acesso em 13. dez. 2016.
SKULKIN, Oleg. DECRYPTING ENCRYPTED WHATSAPP DATABASES WITHOUT THE KEY. Disponível em:<https://www.digitalforensicscorp.com/blog/decrypting-encrypted-whatsapp-databases-without-the-key/ >. Acesso em 13. dez. 2016.
TAHAKUR, Neha S. Forensic Analysis of WhatsApp on Android Smartphones. Disponível em:< http://scholarworks.uno.edu/cgi/viewcontent.cgiarticle=2736&context=td> Acesso em 13.dez. 2016.
Zena Forensics “WhatsAppXtract 2012” [Online]. Disponível em: <http://code.google.com/p/hotoloti/downloads/list>. Acesso em 13. dez. 2016.
MAHAJAN, Aditya; DAHIYA, M. S.; SANGHVI, H. P. Forensic Analysis of Instant Messenger Applications on Android Devices. arXiv preprint arXiv:1304.4915 (2013). Acesso em 13. dez. 2016.