1

Marco Civil é sancionado pela Presidente. Agora é LEI.

Como era de se esperar, a Presidente Dilma Rousseff acaba de sensacionar o Marco Civil da Internet na conferência NETMundial. Aprovado pelo Senado em 22/04/2014 (com a retirada das emandas), logicamente que a Presidente não deixaria passar a oportunidade de avançar na legislação em um encontro mundial, com os principais pensadores da Internet.

Segundo a Presidente “O Marco Civil protege a privacidade dos cidadãos, tanto na relação com o governo quanto nas relações com empresas que atuam na Internet. As comunicações sao invioláveis, salvo por ordem judicial específica. A lei traz, ainda, regras claras para a retirada de conteúdo na rede. O Marco Civil, exemplo de que o desenvolvimento da Internet não pode prescindir dos Estados nacionais, é uma referência inovadora porque, em seu processo de elaboração, ecoaram as vozes das ruas, das redes e das instituições”.

A íntegra do discurso pode ser baixada aqui.

A versão aprovada pode ser baixada aqui.

Já pude escrever o que muda com o Marco Civil aqui.  (Embora existam alterações pois o texto final foi outro)

Embora um avanço na garantia de direitos a usuários de Internet, muitas críticas foram tecidas sobre a velocidade de tramitação e o interesse de políticos em apadrinhar o projeto em época eleitoral. Longe de ser uma solução que resolva todos os problemas, é fato que o Marco Civil teve de ser básico para que pudesse ser aprovado.

Ademais, constitui-se nova ferramenta de trabalho para Advogados do Direito Digital, Ministério Público e deverá ser respeitado por Autoridades Policiais em suas investigações, sobretudo diante das garantias à privacidade.

Por fim, no que tange ao aspecto consumerista, o Marco Civil traz uma série de direitos a usuários de Internet e serviços no Brasil, que não mais estão desamparados diante das abusivas e leoninas cláusulas contratuais dos serviços de Internet.

Dia 23 de abril de 2014. Um dia histórico para o Brasil.

Em nosso curso Marco Civil para Empresas e Provedores de Serviços e Aplicações, abordamos as principais mudanças e como deverá ser o planejamento de trabalho e conformidade diante da nova Legislação. Saiba mais em http://josemilagre.com.br/blog/palestras/cursos-ead/marco-civil-para-empresas-e-provedores/




Marco Civil da Internet: Google lê, realmente, e-mails de usuários

Em tempos de discussões sobre o Marco Civil da Internet  e garantias ao usuário brasileiro de internet, alguns prestadores de serviço parecem desconsiderar completamente suas disposições, avançando em condutas que possam violar a privacidade e impactar em questões legais.

Questionado em muitos países por analisar conteúdo de mensagens para fins publicitários, a empresa Google recentemente alterou sua a sua categoria Termos de Serviços, especificamente, nesta segunda-feira  (14/04)

Deste modo, os Termos de Serviços (http://www.google.com/intl/pt-BR/policies/terms/), especificamente na categoria “Seu conteúdo em nossos serviços”, passaram a descrever que: “Nossos sistemas automatizados analisam o seu conteúdo (incluindo e-mails) para fornecer recursos de produtos pessoalmente relevantes para você, como resultados de pesquisa customizados, propagandas personalizadas e detecção de spam e malware. Essa análise ocorre à medida que o conteúdo é enviado e recebido, e quando ele é armazenado.”

Não se sabe o motivo da mudança dos Termos, mas ao que indica, o provedor estava sofrendo condenações nos Estados Unidos e na fundamentação, magistrados diziam que a politica não era “clara” ao prever a possibilidade de interceptação de e-mails. Não acredito que provedor tenha se movimentado diante da aprovação do Marco Civil Brasileiro na Câmara, que prescreve que os provedores devem ser claros em seus termos, no que tange à como tratam os dados pessoais.

Mas e se o Marco Civil estivesse em vigor?

Leia artigo completo aqui.




Marco Civil já tem 41 emendas no Senado

Nem bem ingressou no Senado, o Marco Civil da Internet Brasileira (PLC 21/2014) já conta com 41 emendas. A informação é do site do Senado Federal As modificações podem ser acessadas em http://www.senado.gov.br/atividade/materia/getPDF.asp?t=148151&tp=1

Apesar a urgência (devendo ser votado em até 45 dias) ao que parece os Senadores não estão contentes com a urgência “urgentíssima” proposta. Querem deixar marcas no Marco Civil, sob o argumento de que “o texto pode ser aprimorado”.

Estamos acompanhando!




Coluna Privacidade Digital no IDGNow!

É com muita satisfação que informo que inicio minha jornada como colunista do conceituado portal de Tecnologia IDGNow! Inauguramos a coluna “PRIVACIDADE DIGITAL”. Na seção, trataremos sobre tecnologias, legislação, melhores práticas e ações relativas a privacidade no mundo digital.Acompanhe nossos artigos e interaja. Pretendemos fomentar debates sobre privacidade e tecnologia da informação! Participe, acesse a coluna http://idgnow.com.br/blog/privacidade-digital/

José Milagre 😉




Responsabilidade dos provedores de hospedagem por invasão: Culpa do sistema ou do provedor?

Você mantém um site rodando sobre o motor wordpress, disponível via painel de controle em uma hospedagem qualquer. Estima-se que 19% dos sites rodem sobre WordPress. Seguiu todos os passos para o hardening, revisou http://codex.wordpress.org/pt-br:Blindando_o_WordPress e mesmo assim está encontrado problemas com injection, file include ou invasões.

Alterou a senha do blog, ftp e do banco de dados. Nada resolve. Alterou os prefixos das tabeas wp_, alterou as permissões, criou um novo usuário administrativo, removeu plugins, criou index.html em diretórios, ocultou a versão do seu CRM,  tunou o .htaccess, instalou plugins de scannes de vulnerabilidades e nada…

Então, ao identificar o ip (no Bing, Ip:seu número de IP) para seu site descobre se tratar de um servidor com dezenas de sites. Um servidor compartilhado. Não há hardening de WordPress que resista a um servidor compartilhado comprometido.

Quais as medidas de segurança que o provedor está adotando para proteger seus arquivos? Em servidores compartilhados as permissões de alterações de arquivos pode ser fatal. E o pior, o provedor pode “abafar” sua vulnerabilidade, alegando que não encontrou problema algum. E o usuário, muitas vezes consumidor, se complica para provar pois não tem acesso à infra do provedor.

O grande problema é que diante de tais incidentes, o primeiro cenário é buscar entender o que aconteceu com o provedor de hospedagem. Lamentavelmente, muitos  provedores irão sempre jogar a culpa no código do cliente, nunca no servidor. Em alguns casos, simplesmente  dizem que nada aconteceu, mesmo você mostrando para o helpdesk registros na tabela wp_posts cheios caracteres “estranhos” e posts não criados pelo administrador.

Sob o prisma jurídico, não há duvida que o provedor pode ser responsável, sobretudo quando alega que o problema é no seu código. É possível provar com um pentest que não é o código o problema!

O provedor, diante de um incidente,  deve restaurar backup anterior a invasão e imediatamente encaminhar os logs (access) e outras informações. O backup deve envolver o banco de dados e é questionável a cobrança pela restauração de backups dos clientes.

Já se decidiu na justiça brasileira que a ausência de backup ou a corrupção do mesmo pelo cracker, pode ensejar responsabilização do provedor de hospedagem.

Mesmo o provedor tendo restabelecido o serviço, é direito do consumidor de serviços descobrir data e hora do acesso indevido, vulnerabilidade explorada e técnica utilizada. Se o provedor alega que se trata de um injection ou uma vulnerabilidade no seu código que permitiria a injeção de um shell, mas não existe nada nos logs, esta afirmação pode não corresponder à realidade, sobretudo se o incidente se repetir.

Cabe, neste caso, a atuação com uma perícia ou auditoria externa, para constatar efetivamente se a afirmação do fornecedor de hospedagem realmente procede. Com a perícia em informática, pode-se identificar, por exemplo, vulnerabilidade no servidor ou serviços desnecessários rodando, não iniciados pelo cliente, sendo o caso de responsabilização do provedor.

Em Minas Gerais, ao julgar o recurso de apelação 433.758-0 (2.0000.00.433758-0/000.), o então Tribunal de Alçada responsabilizou provedor de hospedagem em caso em que defacer invadiu site e anexou fotos pornográficas no site da vítima. Por outro lado, nos termos do inciso II, parágrafo 3o. do Art. 14 do Código de Defesa do Consumidor, o provedor poderá provar culpa exclusiva da vitima, que por exemplo, não protegia o arquivo wp-config.php, permitindo que qualquer um conhecesse a senha para acesso ao banco de dados, ou mesmo mantinha uma senha fraca para seus serviços.

Recentemente, em 2013, um provedor foi condenado por não garantir segurança ao cliente, permitindo a invasão (http://www.ebc.com.br/tecnologia/2013/08/microsoft-e-condenada-a-indenizar-consumidora-que-teve-perfil-invadido)

Outro julgado pode ser encontrado em http://www.migalhas.com.br/arquivo_artigo/art20130828-11.pdf

A controvérsia é técnica e será decidida pela justiça. Vale quem produzir a melhor prova. Mais uma vez a perícia informática é fundamental, desta vez, para o prestador de serviços de hospedagem que pretenderá demonstrar que o problema não era com sua infra.

Seja como for, recomenda-se a ambas as partes o registro de todas as telas e detalhes da invasão, bem como das conversações (suporte, chamados, helpdesk, etc.) envolvendo o incidente. A coleta de evidências dever ser ágil sim, mas sempre preceder qualquer medida para “apagar” o exploit ou arquivos plantados pelo atacante no FTP, pois serão provas em juízo. O contrato deve ser revisto, sempre, pois ele limitará, no que não for nulo ou abusivo, os direitos e deveres entre as partes, diante de um incidente.

Recomenda-se, em caso de servidor aberto ou compartilhado, mediante um ajuste com o prestador de serviços, a utilização do OSSEC (http://www.ossec.net/), que permite a análise de logs rapidamente, permitindo ainda monitorar arquivos quando os mesmos são alterados, garantindo a possibilidade de uma resposta rápida a um incidente.

Para segurança em WordPress, por fim,  recomendamos o ebook http://ithemes.com/wp-content/uploads/downloads/2013/12/WordPress-Security-ebook.pdf