1

Hackers to Law: Lei Azeredo pode tornar inviável cultura e pesquisa hacker

Como deveria ser do conhecimento de todos, hackers, ao contrário de crackers, utilizam seus conhecimentos para o aprimoramento da segurança de sistemas, e não invadem sistemas com a intenção danosa. Mas invadem sistemas, fato!

Mas será que o PL 84/1999, a chamada “Lei Azeredo”, alcança esta distinção técnica, ou trata todos como cibercriminosos, como é, aliás, o entendimento de algumas autoridades que se manifestam a respeito? Em maio de 2011, o Projeto 84/1999 teve novo relatório, também pelo (agora Deputado) Azeredo, que tentou costurar alguns termos de modo a tornar o projeto “mais aprazível”. Fato é que o mesmo será votado pela Comissão de Ciência e Tecnologia da Câmara, e pode ser aprovado a qualquer momento.

Mas, suprimir “termos polêmicos” da legislação projetada, como o próprio Senador anunciou, significa efetivamente preservar direitos e garantias fundamentais dos cidadãos e pesquisadores de segurança? Vejamos, no decorrer desta análise.

Dentre as principais modificações do relatório, tivemos a remoção dos textos “dispositivos de comunicação” e “rede de computadores” dos tipos penais trazidos, segundo o relator, para “impedir a criminalização de condutas banais”. Mas condutas banais continuam em risco de serem consideradas criminosas.

Três artigos, com profundo impacto nas pesquisas realizadas por profissionais de segurança, serão estudados, abaixo descritos:

Acesso não autorizado a rede de computadores, dispositivo de comunicação ou sistema informatizado

Art. 285-A. Acessar rede de computadores, dispositivo de comunicação ou sistema informatizado, sem autorização do legítimo titular, quando exigida:

Pena – reclusão, de 1 (um) a 3 (três) anos, e multa.

Parágrafo único. Se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime, a pena é aumentada de sexta parte.

Obtenção, transferência ou fornecimento não autorizado de dado ou informação

Art. 285-B. Obter ou transferir dado ou informação disponível em rede de computadores, dispositivo de comunicação ou sistema informatizado, sem autorização ou em desconformidade à autorização, do legítimo titular, quando exigida:

Pena – reclusão, de 1 (um) a 3 (três) anos, e multa.

Parágrafo único. Se o dado ou informação obtida desautorizadamente é fornecida a terceiros, a pena é aumentada de um terço.

Inserção ou difusão de código malicioso

Art. 163-A. Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado.

Pena – reclusão, de 1 (um) a 3 (três) anos, e multa.

Inserção ou difusão de código malicioso seguido de dano

§ 1º Se do crime resulta destruição, inutilização, deterioração, alteração, dificultação do funcionamento, ou funcionamento desautorizado pelo legítimo titular, de dispositivo de comunicação, de rede de computadores, ou de sistema informatizado:

Pena – reclusão, de 2(dois) a 4 (quatro) anos, e multa.

Bom, para entender quais foram as mudanças nos artigos, apenas os leia sem as expressões “rede de computadores” e “dispositivo de comunicação”. Avançamos realmente em prol de uma legislação lúcida, no que tange às pesquisas de segurança? Receio que não.

Primeiramente, em se tratando do crime previsto no art. 285-A (Acesso não autorizado a rede de computadores, dispositivo de comunicação ou sistema informatizado), o “acesso” continua sendo “não autorizado”, de modo que deixa a cargo do titular do “sistema informatizado” reputar as condições de autorização (que podem não ser tão expressas), como “integrador” da lei penal, o que é um perigo, diante de nítida subjetividade, que pode ensejar manobras maliciosas para prender pesquisadores e profissionais éticos.

Imagine que você, ao invés de acessar um site via browser, utiliza um crawling ou se utiliza do comando “wget” no site; este acesso está se dando a um sistema informatizado (website) e de uma forma não trivial (browsing), logo, você pode ser punido por fazer download do site.

Imagine em um pentest (teste de intrusão), onde via “sql injection” você consegue bypassar o sistema de login do precitado portal, adentrando na área administrativa ou mesmo descobre o arquivo de conexão que lhe permite realizar uma conexão nativa com o banco de dados. Ora se hoje, CSOs na grande maioria, são arredios e se revoltam com “pesquisadorezinhos” que se intrometem em seu trabalho e expõe vulnerabilidades, imaginem, quando eles descobrirem que tais atividades passam a ser criminosas?

Uma simples script em php usando a expressão <? passthru($_GET[“cmd”]); ?>, concatenado em uma querystring, para gerar um registro no errors.log, que simplesmente te permite a execução do Shell (cmd), e que o pesquisador testou em um sistema, mesmo que não tenha sido contratado, causado dano, indisponibilidade ou copiado informação alguma, apenas para provar o conceito, seria, em tese, acesso indevido a sistema informatizado. Ora, como testar a segurança de um sistema se o acesso é criminoso?

E que nem se argumente que pode-se inserir na redação do tipo a expressão “através de meio fraudulento” e estaria resolvido o problema, sendo que somente crackers seriam pegos. Ledo engano, os hackers utilizam de destreza e técnicas de subversão de sistemas, logo, é fato que adulteram, enganam os sistemas testados. O que difere um cracker de um hacker não são, em regra, as ferramentas ou meios usados, mas a intenção dos agentes.

Alguns podem argumentar que os riscos de injustiças acima expostos não existem, já que a conduta punível deve ser sempre “dolosa”, com intenção, porém, não nos perece crível que um pesquisador de segurança tenha de provar que não tinha intenção fraudulenta ou de obtenção de quaisquer vantagens, tendo de se expor constantemente em face de investigadores, inquéritos, averiguações, dentre outras. O simples fato de comparecer em um “DP” para prestar esclarecimentos, para um pesquisador Hacker, é fato constrangedor ao extremo e pode se intensificar com a aprovação da lei.

Já, em se analisando o artigo 285-B da “Lei Azeredo” (Obtenção, transferência ou fornecimento não autorizado de dado ou informação), temos o mesmo problema e pior, com uma conduta passiva do hacker, “obter”, ou seja, alguém que receba por e-mail, skype ou de qualquer forma dados de uma pagina ou aplicação web, banco de dados ou dispositivo informático, poderá incidir no tipo ora previsto. Não bastasse, mais uma vez tem-se um conceito subjetivo, “sem autorização”, que pode ser utilizado por pessoas maliciosas para incriminar inocentes. Um contratante, por exemplo, buscando a rescisão com um pesquisador de segurança, sem pagar-lhe o devido, pode “armar” uma cilada, modificando os termos de acesso ao sistema informatizado, fazendo com que este, inconscientemente, incida na conduta prevista como criminosa.

Alguém que faça ou receba um script e faça um “file include” e que demonstra uma URL vulnerável, e que encaminha as análises para um grupo de pesquisadores, estaria em tese cometendo a conduta criminosa.

Ademais, hackers que participam de listas não estão imunes à atuação de kiddies tolos que por prazer e sem cérebro postam dados de suas “façanhas”. Neste caso, hackers estariam “obtendo” dados de sistemas informatizados sem autorização. Logo, criminosos! Divulgações de pesquisas, repositórios de códigos e provas de conceito podem estar comprometidas, pois darão margem a uma interceptação ampla por parte de vítimas, delegados, promotores, etc.

Já o tipo previsto no art. 163-A, pune aquele que insere ou difunde código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado (Agora, só “sistema informatizado”). Ora, e quem irá dizer o que é “código malicioso”? É o mesmo que tentar explicar se uma “faca” é um instrumento malicioso! Vocês conhecem o T50? O SqlMap? O Metasploit? Pois é, exploits, provas de conceito e ferramentas de auditoria estão ameaçadas. E um mero scriptzinho VBS ou viruszinho de macro (Do tipo,“Seu pc está sendo formatado…”), mesmo sem comprovada eficácia do meio, podem ser considerados códigos maliciosos? Quem vai dizer são os operadores da lei, e é aí onde mora o perigo.

Se você apenas injetou o ou executou o exploit, mesmo que não haja dano, pode ser punido pela “inserção”. Se você mandou o link do código (exploit) para alguém, “difusão”, Se você colocou aquelas “aspas simples” em um “textbox” em algum site, (viu algo como “Erro: Incorrect syntax near ”, senha, 0) retorno, tipo, codigo, acessos from usuario where usuario = ”.”) mas o gerente de TI registrou seu IP no access.log e passou para um advogado, cana!

“Onde você estava quando estas aspas simples foram registradas nos logs da vítima? Elas vieram do seu IP! Confesse!”

Bom, e se você instalou um plugin no seu browser para te dar privacidade do tipo “X-Forwarded-For Spoof” e lá colocou um javinha alert e percebeu que dezenas de sites estão vulneráveis a XSS-Crossite (em referrer)? Você estava simplesmente garantindo sua privacidade, esbarrou com falhas, e ainda pode ser indiciado por “inserção” de “código malicioso”! Pode?

Você compra um “Iphone” e instala uma aplicaçãozinha que permite acessar o root do sistema de arquivos ou para desbloquear alguma função. (jailbreak). Pergunto, a Apple autoriza? Você não inseriu código malicioso em sistema informatizado? Crime!

Você gosta de engenharia reversa, usa um “decompiler” ou mesmo um “disassembler”, altera alguma aplicação em hexa, ou muda endereçamentos, inserindo novos códigos no executável, para avaliar sua segurança e comportamento? Você está inserindo código em “sistema informatizado”, crime!

Você acessa seu e-mail através de webmail, após o desligamento da empresa, você percebe que suas credenciais não foram removidas, e realiza um acesso de sua casa para acessar os últimos e-mails remetidos a você. Você está acessando indevidamente sistema informatizado (servidor e-mails) sem autorização! Crime!

São várias as condutas questionáveis!

Por fim, a supressão dos termos “dispositivo de comunicação” e “rede de computadores” dos crimes aqui estudados, alteram algo neste cenário? Apenas limito-me a descrever o conceito de sistema informatizado, mantido pela lei: “qualquer sistema capaz de processar, capturar, armazenar ou transmitir dados eletrônica ou digitalmente ou de forma equivalente”

A alteração, a nosso ver, em nada altera o cenário, pois o termo sistema informatizado é amplo e não vislumbro, na grande maioria das hipóteses, um dispositivo de comunicação ou rede de computadores (útil), sem um sistema informatizado. Ou seja, se o Senador removeu estes termos, foi por redundância, e não com intenções de “impedir a criminalização de condutas banais”.

Vejamos, se você rodasse um nmap em um IP e verificasse que o mesmo está com a porta do Terminal Server aberta (3389), entrasse e, digitando as credenciais, acessasse o sistema, estaria em tese acessando indevidamente rede de computadores. (Mais, o próprio “ping” ou “nmap” para scanear portas, pode gerar logs nos IDS e firewalls, onde o agente estaria, em tese, inserindo dados em sistema informatizado!) Se, de outro modo, via wireless, encontrasse um dispositivo móvel fazendo gateway para Internet (via 3g ou gsm) e nele se conectasse, estaria acessando indevidamente um dispositivo de comunicação. O mesmo vale para os inúmeros hotspots liberados ou “liberáveis” (aircrack que o diga…) disponíveis em todo o Brasil, onde seus titulares sequer sabem de tal fato. Acessou rede alheia, aberta, porém sem autorização (aberta por ignorância e não por consentimento), crime!

Removendo agora estes termos (redes de computadores e dispositivos de comunicação, mantendo somente sistemas informatizados), no primeiro caso, em uma interpretação maliciosa, poderiam as autoridades alegarem que o agente acessou o “sistema informatizado” operacional x ou y da vítima, via Terminal Server. No segundo caso, que o agente acessou o “sistema informatizado” android, symbiam, iphoneOS ou qualquer outro sistema da vítima, via wireless. Na terceira hipótese, que acessou o “sistema informatizado” do roteador (firmware) para acesso indevido à rede wireless alheia…

Ou seja, nada mudou, a interpretação de sistema informatizado é, do mesmo modo, ampla!

O mesmo vale para o verbo “obter” previsto no artigo 285-B. Não se obtém dados em redes de computadores e dispositivos de comunicação que não estejam, via de regra, suportados por sistemas informatizados. Pense conosco… Um firmware é sistema informatizado, um aplicativo é sistema informatizado, um utilitário é sistema informatizado, ou inutilitário é sistema informatizado… Acessou a página do LulzSecBrasil com dados da Dilma e Kassab? Criminoso! Você “obteve” os dados sem autorização do titular! Bandido!

Como explicado, não se ambicionou, com o presente, pregar a não necessidade de uma lei de crimes informáticos ou atacar o projeto como um todo (eis que parte dos artigos são válidos e pertinentes, como a proteção de dados pessoais prevista no art. 154-A), mas tão somente demonstrar, especificamente, no que tange à atividade hacker, que esta pode restar inviabilizada caso tais tipos não sejam reformulados, reestudados ou removidos da “Lei Azeredo”.

A manutenção dos tipos penais, tal como se apresentam, constitui em risco para a cultura e pesquisa de segurança da informação, na medida em que colocam “nas mãos” dos titulares de sistemas informatizados e na interpretação de autoridades, questões como a autorização ou não para acesso e envolvendo a intenção (dolo) do hacker suspeito, bem como criminaliza atividades triviais diuturnamente realizadas por pesquisadores, sempre, com as melhores finalidades. Como provar boas intenções neste cenário? Desculpem-me, mas este ônus não deve ser atribuído aos hackers.




Sala de Estudos: Guerra, LulzSec, cyberguerra e defesa cibernética no Brasil e Mundo

Em meio aos ataques do grupo LulzSec aos sites brasileiros, muitas pessoas encontram-se com inúmeras dúvidas acerca da natureza de tais ataques, causas, consequências, etc…

Estaríamos enfrentando uma cyberguerra? Neste cenário, acaba de sair do forno na “Sala de Estudos” de Cyberwar uma profunda pesquisa que produzimos sobre o tema e que muito irá orientar o leitor em suas pesquisas na área.

A pesquisa é atualizada diariamente e aborda todos os conceitos envolvendo crackerismo, ciberguerra, guerra, estratégias, links, documentos dentre outros pontos relevantes.

Não perca tempo, acesse agora mesmo a participe para o aprimoramento dos estudos com seus comentários.

Acesse agora:

Guerra, LulzSec, cyberguerra e defesa cibernética no Brasil e Mundo
http://josemilagre.com.br/blog/sala-de-estudos/cyberwar/pesquisas-2/guerra-e-defesa-cibernetica/




Estado de sítio virtual: LulzSec, a Lei e a defesa cibernética do Brasil

O Grupo cracker LulzSec (“Rindo da Segurança”) está literalmente achincalhando com a segurança da informação de governos, tendo focado nos Estados Unidos, vem apresentando ataques aparentemente “sem fundamentos políticos”, tendo “rescindido” com o grupo Anonymous em virtude desta nova característica “despretensiosa” do “e dái?”

O mais grave é que pessoas de má fé, no Brasil, trataram de manter contato com membros do tal Clã, e fundaram o que se chama de “suposta filial brasileira do grupo” https://twitter.com/#!/LulzSecBrazil, que já vem anunciado ataques a inúmeros sites governamentais e de comunicações. Pobre do governo brasileiro e de sua segurança se não passar a encarar a situação com maior tecnicismo e menos exibicionismo.

Ao que parece, o grupo age também orientado a “seguidores”, ou seja, prometem aos usuários de redes sociais que “se” alcançarem um número de seguidores, darão inicio a execução de um determinado ataque. Igualmente, transferem aos inexperientes usuários o direito de escolher se um ataque deve ser realizado ou não, como “Pilatos informáticos”. Seria esta uma forma de tentar “legitimar” suas atuações sujas e infundadas? Pedindo a opinião de usuários de redes sociais?

Recentemente, informações (ou desinformações) na Internet afirmaram que o LulzSec teria se unido ao Anonymous para uma suposta operação “Anti-Security” que focaria em órgãos do governo e instituições bancárias. O Brasil não ficaria de fora. Estaria a cyberguerra se transmudando em cyberterrorismo ou mesmo anarquismo digital? Estaria o LulzSec tentando danificar a imagem do grupo “Anonymous”, invadindo a privacidade de milhões de pessoas? Ou tudo não passaria de um grande “hoax” da segurança informática?

Seja como for, mostrar o quão bancos e governo são frágeis seria uma motivação nobre para ataques que violam privacidade de inúmeros civis? Em nosso sentir, uma motivação abominável, se é que pode ser chamada de motivação. Onde está a militância e ideologia política por trás destes grupos? Evidentemente, evaporou-se. Não existe ativismo cibernético mas nítida atuação criminosa e que demanda a urgente atuação de uma força de repressão internacional, bem como uma corte especializada, considerando a natureza transcontinental dos ataques. Infelizmente, falamos sobre tal necessidade há anos, mas parece que a orientação a eventos ainda é regra da segurança da informação mundial.

E quanto aos “kiddies” brasileiros querendo aparecer?  Nítidos operários em busca de “sqli”, “dox” ou vulnerabilidades a mando de um “líder global”. O que mais nos preocupa é a influência negativa que estas pessoas possam sofrer do grupo, o que poderá causar um “estado de sítio virtual”, por conta de ações sem causa. Imaginem jovens hackers brasileiros achando graça em ideologias encartadas nas seguintes frases:

“Ver a foto do Facebook de alguém virar um pênis e assistir a resposta chocada da irmã da pessoa é impagável. Receber e-mails raivosos de um cara para o qual você acaba de enviar 10 vibradores porque ele não consegue garantir a segurança da senha do Amazon é impagável. Você acha engraçado ver a destruição se espalhando, e nós achamos engraçado causa-la. Nós divulgamos dados pessoais para que pessoas igualmente más possam nos entreter com o que eles fazem com isso.”

Infelizmente, conhecimento técnico não significa ética ou formação humanística e estes infantes podem se sentir importantes com uma missão similar a “roubar e vazar quaisquer informações classificadas como governamentais”, sem pensar nas consequências. Humor negro aliado a crackerismo resulta num cenário até então impensado pelos analisadores de risco, e que agora passa a ser critério indispensável de reflexão.

Para alguns, este cenário teria um ponto positivo, conscientizar finalmente as empresas e governo a se preocuparem com segurança, a ser vista como um processo e não como um produto, eis que todos estão ficando em estado de insegurança com as ameaças do grupo. A nós, nada justifica esta forma de “conscientização”. As conseqüência para o grupo brasileiro que via twitter (@lulzsecBrazil) vem divulgando os primeiros ataques a .govs?  Diversas, de falso alarma à crime contra a administração pública, passando por punições envolvendo dano informático, interceptação telemática não autorizada, divulgação de segredo, quadrilha ou bando dentre outros tipos aplicáveis.

Agora, como identificar os protagonistas brasileiros? Apenas limito-me a transcrever o depoimento de um amigo HACKER, hoje residente no Canadá e que integra um dos principais e mais respeitados grupos de pesquisadores na área “eu queria fazer algo para ajudar as autoridades e as pessoas a defenderem o patrimônio mas…não temos nenhum órgão centralizado de defesa, somente as policias especializadas em crimes virtuais”.

Infelizmente, esta é a realidade, um jogo de ostentação onde Governo repudia qualquer ajuda privada ou mesmo a pune, e o resultado, um exército de civis e hackers pronto para atuarem em defesa da pátria, muitas vezes de graça, tendo de assistir de braços cruzados a guerra desigual entre poucos agentes governamentais e crackers com nítido maior conhecimento, ferramentas e tempo.

É hora de deixarmos o inchaço de lado e pensarmos em recrutamentos e parcerias privadas que possam fortalecer o espaço cibernético brasileiro, principalmente, oferecendo formação ética e humanística aos jovens, para que se tornem cyberdefensores, e possam resistir com firmeza aos apelos do crime eletrônico, não aderindo a atividades ilegais e tolas, como as propostas pelo LulzSec, que infelizmente, foram capazes de persuardir um pequeno grupo brasileiro, que ainda não despertou que está sendo usado como marionete ou que suas virtudes seriam muito mais úteis do outro lado da corda.

Que a opinião pública saiba distinguir claramente que existem hackers éticos que não compactuam com a sujeira de criminosos inconseqüentes, que o Brasil reflita acerca da criação de um programa de cooperação com civis e acerca da criação de justiça/cortes especializadas em delitos tecnológicos e guerra informática, que as empresas aprendam que não mais precisam ser “más com o mundo” para serem vítimas de ataques informáticos e pensem, efetivamente, em segurança da informação.




Novos precedentes na responsabilização jurídica de provedores de conteúdo: O caso do game “Faith Fighter” e a comunidade muçulmana.

A Justiça Paulista, recentemente, em novembro de 2010, condenou o  provedor Universo Online, “UOL”, por hospedar jogo eletrônico com personagens bíblicos que, segundo decisão do Tribunal de Justiça, protagonizava cenas de violência que contrariavam preceitos religiosos, com fundamento no disposto no art. 5o., inciso VI da Constituição Federal, que prevê que é inviolável a liberdade de consciência e de crença, sendo assegurado o livre exercício dos cultos religiosos e garantida, na forma da lei, a proteção aos locais de culto e a suas liturgias; A ação foi proposta por Mesquita União Muçulmana de Barretos.

O Site “clickjogos”, do UOL, mantinha o jogo Faith Fighter, que encenava uma disputa de Deuses. O jogo fora desenvolvido por Clickfoo Atividades de Internet Ltda., a qual a UOL denunciou à lide para fins de reembolso regresso, em primeira instância. A UOL foi condenada em primeira instância a uma indenização por danos morais de R$ 30.000,00 (trinta mil reais). Recorreu ao Tribunal de Justiça da precitada decisão.

Mas o que mais chama atenção na decisão não é somente o reconhecimento de que o game afrontava os princípios do islamismo e de todos os muçulmanos, mas a responsabilização do provedor de hospedagem por conteúdos de terceiros. Tal preceito pode ser utilizado em demais ações análogas. Vejamos.

O “UOL” apresentou em juízo contrato de parceria com a empresa Clickfoo, pelo qual não lhe caberia pela avença qualquer responsabilidade pelos conteúdos inseridos pela empresa de games.

Segundo a decisão, no que cerne a gravidade do jogo “O game, embora não seja profano, não é inofensivo e causa repulsa a pessoas que não jogam, o que é suficiente para despertar interesse juridico”

E mais, no que diz respeito ao “contrato” apresentado pelo provedor “UOL”, onde este se eximia de responsabilidade por conteúdos de parceiros, o Tribunal foi expresso ao consignar que tal modo “simplista” não se aplicava a terceiros lesados, vejamos em trecho do acórdão:

“A UOL (provedora) responde por ter cedido espaço, de forma onerosa, para que a CLICKFOO postasse o vídeo para deleite daqueles que se interessam por tais jogos e convém ressaltar que o que consta do contrato (isentando o provedor de responsabilidade pelo conteúdo) vale entre eles e não contra terceiros (ou a comunidade), quando afetados pelas mensagens ofensivas ou ilícitas contra religiões. O provedor de hospedagem não se exime de forma simplista ou com o argumento de que não participa do que se expõe no site cedido, porque a sua atividade exige ou reclama uma participação mais ativa em termos de controle de material exposto mediante pagamento. Aplica-se, sim, o art. 927. parágrafo único, do CC e o art. 14, da Lei 8078/1990.”

Ainda, a respeito de tese defensiva muito utilizada por advogados de provedores de hospedagem e conteúdo, de que a conduta denunciada é trivial, corriqueira, espalhada, outros sites também hospedam, ou que o conteúdo está em toda a Internet, a chamada tese da “multiplicidade da oferta lesiva”, o que não justificaria o foco do autor da demanda em somente um dos acusados, o Tribunal é brilhante ao concluir que tal tese não tem aplicabilidade e deve ser absolutamente afastada, pois não é porque um conteúdo ilícito está publicado em diversos sítios e locais da Internet, que o titular do direito lesado não possa exercer sua reparação em face do provedor que bem entender ou identificar, vejamos:

“A CLICKFOO é a empresa que inseriu o jogo no site e deverá responder por isso, ainda que outros links ofereçam  a mesma diversão, pois o que interessa para o processo não é a multiplicidade da oferta lesiva, mas, sim, a especificidade  do caso concreto”

No que pulsa ao poder do juiz para remoção de informações na Internet, que sejam desrespeitosas às religiões, bem lembra o Desembargador Enio Zuliani que a Lei 8081/1990, editada para penalizar atos discriminatórios ou preconceituosos envolvendo raça, cor, religião e etnia, prevê ao juiz a possibilidade de interditar mensagens e páginas na rede mundial de computadores, nos termos do inciso III, parágrafo 3o. do Art. 20, incluído pela Lei 12.288/2010.

O acórdão, embora não ratificando dano moral de primeira instância, mantém a condenação em “despesas” e honorários para o Universo Online, assegurando no entanto a este o direito de regresso, para exigir o reembolso da empresa Clickfoo, responsável pelo game.

Estamos vivenciando uma quebra de paradigmas e novos precedentes a respeito da responsabilidade jurídica de provedores de conteúdo e hospedagem, fruto do maior contato de magistrados com reiterados casos desta natureza. Constatamos que “nem sempre” o provedor de hospedagem será isentado por negligenciar com conteúdos que armazena, a despeito dos “contratos” celebrados com usuários e parceiros conteudistas e isto só demonstra o amadurecimento do judiciário acerca do tema. Tais provedores deverão adotar participação mais ativa em termos de controle de material exposto mediante pagamento ou sofrerão perdas financeiras com condenações.  As vitimas e os consumidores só tem a ganhar.

Acesse a íntegra do acórdão: Faith Fighter – Acórdão – TJ-SP – 2010




Debate sobre a Nova Lei das Prisões e Medidas Cautelares na AASP

Profossor Luiz Flávio Gomes e José Antonio Milagre

Em 16/06/2011 a AASP (Associação dos Advogados de São Paulo) promoveu um debate sobre a Nova Lei das Prisões e Medidas Cautelares. O evento foi mediado pelo professor Luiz Flávio Gomes, e contou com autores de seu novo livro “Prisão e Medidas Cautelares: Comentários à Lei 12.403 de 04 de maio de 2011”, lançado pela Editora RT. Tive a honra de colaborar no livro do professor LFG “Legislação Criminal Especial” (http://www.rt.com.br/?sub=produto.detalhe&id=39423) e agora, no que tange à Lei 12.403/2011, o professor está abrindo seu Blog (http://www.ipclfg.com.br/category/grupo-de-discussoes/) para o que chamou de “construção de uma cultura jurídica” acerca da nova legislação. Todos podem cooperar com suas experiências práticas sobre tal embrionária Lei. Trata-se de uma iniciativa imperdível. Convido todos os leitores que miliam no direito criminal a particiar. Nossa cooperação está sendo feita, sob o prisma do direito criminal informático. Avante!

Para adquirir o livro “Prisão e Medidas Cautelares: Comentários à Lei 12.403 de 04 de maio de 2011”, acesse http://www.rt.com.br/?sub=produto.detalhe&id=42364




Tribunal diz que afirmação de Banco de que seu sistema é inquebrável é “pretensiosa”

Em recente julgado (2010) expedido pela 12 Câmara de Direito Privado de São Paulo, apelação número 990.10.435776-4, Instituição bancária fora condenada a indenizar correntista por danos morais e materiais, decorrentes da falha de segurança em sistema de caixa eletrônico, que permitiu que cybercriminosos realizassem saques indevidos.

Até aí sem novidades. Ocorre que no caso, o banco informou que seria “impossível” que um saque fosse realizado em caixa eletrônico sem cartão e senha. O Tribunal reconheceu que o Banco é quem deveria provar tal afirmação.

“De outra banda, salta aos olhos a dificuldade do correntista produzir a prova negativa, qual seja, a de que não realizou os saques”

Não bastasse, alegou o banco que seus sistemas informáticos eram “inquebráveis”. Quanto a isto, teve de se aquietar com as conclusões dos Desembargadores, que taxaram tal alegação como “demasiadamente pretensiosa”, fundamentando tal conclusão com casos envolvendo Twitter, WordCom, Microsoft, dentre outras empresas hackeadas, vejamos:

O Tribunal concluiu que houve a quebra do sistema do banco e considerou a falta de segurança dos sistemas um descaso ao consumidor, condenando a instituição em danos materiais e mais morais, no importe de R$ 3.000,00 (três mil reais).

Veja decisão completa: Acórdão 4872084 – TJ – SP




Despacho judicial hi-tech expedido em São Paulo

Despacho hi-tech expedido no Fórum Regional de Santo Amaro. Fico imaginando meu pai, que também era advogado (de número 14 mil e pouco, em São Paulo, isto significa uma OAB antiga), lendo este despacho. Com certeza recorreria ao filho para que traduzisse o que fora informado. É, os tempos são outros…

Aprecie!

1.  TJ-SP
Disponibilização:  terça-feira, 10 de maio de 2011.
Arquivo: XXX Publicação: XX
Fóruns Regionais e Distritais II – Santo Amaro e Ibirapuera Cível 2ª Vara Cível

Processo 00xxxx7-40.20xx.8.26.0002 (002.1x.0xxxx7-9) – Cautelar Inominada – Liminar – XXXXXX  XXXXXXXX  XXXXXXXXXX – Microsoft Informática Ltda. – Oficio emitido – Deverá o advogado do autor ou réu, sem a necessidade de comparecer ao cartório judicial, sem filas e sem perda de tempo, no site do Tribunal de Justiça (Consulta/Processo/1ª instância/Capital/ Processos Cíveis/ Nome da parte ou número dos autos ou acessar, diretamente, o link: www.tj.sp.gov.br, clicar no documento a ser impresso e, após, optar por apertar o botão direito do mouse e, clicar na opção “imprimir ctrl P” (com a seta na parte branca do documento) ou adotando a utilização do “Ctrl + P” (apertar conjuntamente as teclas), reproduzir cópia fidedigna do ofício/ despacho/ sentença/ documento desejado, com a assinatura digital do julgador, (instruindo-o com cópias processuais pertinentes que estão em seu poder) e, diretamente, encaminhá-lo à instituição. – ADV: XXXX XXXXXX XXXXX DE CASTRO (OAB XXXXXX/SP), XXXXX XXXXXXXX XXXXXX (OAB XXXXX/SP), JOSE ANTONIO MAURILIO MILAGRE DE OLIVEIRA (OAB XXXXXX/SP)

1. TJ-SP
Disponibilização: terça-feira, 10 de maio de 2011.
Arquivo: 755 Publicação: 23
Fóruns Regionais e Distritais II – Santo Amaro e Ibirapuera Cível 2ª Vara Cível

Processo 0011647-40.2010.8.26.0002 (002.10.011647-9) – Cautelar Inominada – Liminar – TATIANA CARREIRA CAPECCI TOSTA – Microsoft Informática Ltda. – Oficio emitido – Deverá o advogado do autor ou réu, sem a necessidade de comparecer ao cartório judicial, sem filas e sem perda de tempo, no site do Tribunal de Justiça (Consulta/Processo/1ª instância/Capital/ Processos Cíveis/ Nome da parte ou número dos autos ou acessar, diretamente, o link: www.tj.sp.gov.br, clicar no documento a ser impresso e, após, optar por apertar o botão direito do mouse e, clicar na opção “imprimir ctrl P” (com a seta na parte branca do documento) ou adotando a utilização do “Ctrl + P” (apertar conjuntamente as teclas), reproduzir cópia fidedigna do ofício/ despacho/ sentença/ documento desejado, com a assinatura digital do julgador, (instruindo-o com cópias processuais pertinentes que estão em seu poder) e, diretamente, encaminhá-lo à instituição. – ADV: MAURO EDUARDO LIMA DE CASTRO (OAB 146791/SP), LUIZ NAKAHARADA JUNIOR (OAB 163284/SP), JOSE ANTONIO MAURILIO MILAGRE DE OLIVEIRA (OAB 244635/SP)