1

Quando os algoritmos falham e o combate ao Fakenews causa outros danos

A maior rede social do mundo enfrenta grandes problemas diante do vazamento de dados de 50 milhões de perfis a partir de aplicativo instalado em mais de 250 mil destes, que serviram de insumo para análises pela Cambridge Analítica, de uso na campanha eleitoral norte-americana para direcionamento de propaganda.

Em tempos de novo regulamento de proteção de dados pessoais aprovado na União Europeia e enrijecimento da proteção aos dados dos norte-americanos (Já se discute o Honest Ads Act, proposta que obriga empresas de tecnologia a revelarem compradores de publicidade que sejam políticos) o descrédito e a queda do valor das ações estão fazendo Facebook tomar medidas drásticas, sobretudo com vistas às eleições do Brasil e México.

Assim, o que já ocorre em outros países pode ocorrer aqui também, por meio da técnica de fact-cheking, ou seja, a partir de um link que o usuário pretende postar, o Facebook utilizará parceiros para avaliar a notícia e motivar o usuário a repensar antes de postar, além de estratégias convencionais, como reduzir alcance de páginas que costumam divulgar informações falsas.

Porém só isso não adianta, pois sabe-se que um bot irá aprender a postar a notícia falsa a despeito do aviso de que algo “não é bem assim”. Por isso a rede está testando o aprendizado de maquina, de forma a detectar paginas e conteúdos enganosos e poderá até mesmo remover automaticamente os mesmos.

Recentemente identifiquei que rede já está “taggeando imagens”, ou seja, a partir de inteligência artificial e algoritmos, consegue identificar o contexto das imagens postadas, certamente para detectar conteúdos abusivos e fakes também em formato visual. Na minha imagem que postei, o Facebook até detectou que eu estava de “terno”.

Sabe-se que as vitimas de fakes podem recorrer ao Judiciário, por meio de um advogado em direito digital, em busca da exclusão do conteúdo, como recentemente ocorrido no caso da vereadora Marielle, onde um processo no Rio de Janeiro indaga o Facebook se o MBL pagou para impulsionar FakeNews, havendo risco de multa suspensão e bloqueio no Brasil, caso descumpra a ordem.

Na ânsia de frear o FakeNews, a rede corre um outro risco, o de ser responsabilizada por interferir no conteúdo, rotular indevidamente e excluir perfis que não espalhavam desinformações, além de gerar “bolhas de opiniões” ou “caixas de ressonância”, priorizando a usuários conteúdos que os mesmos possuem afinidade, ainda que proveniente de fontes duvidosas. Algoritimos falham ou podem ser usados para criar estados artificiais, fazer deduções equivocadas ou mesmo influenciar decisões. Não se sabe, até hoje, como o Facebook trabalha os seus códigos neste sentido.

Recentemente, até mesmo alguns novos chatbots foram bloqueados, diante das medidas anunciadas pela empresa para aprimorar a privacidade, englobando o seu Messenger.

Neste contexto, pessoas e empresas prejudicadas e que tiveram páginas excluídas podem recorrer ao Judiciário e processar a rede para manterem seus conteúdos no ar, ilegitimamente excluídos por erros, má intenções ou manipulações de códigos e algoritmos.

Não demais destacar, no entanto, a questão da onda de Fakenews e da violação a privacidade também pode ser evitada ou minimizada pela ação de usuários. De nada adianta as ações propostas como o Fatima (chat bot que esclarece usuários sobre fakenews) se estes continuam trocando sua privacidade por inutilitários que os mostram mais velhos, parecidos com algum artista ou mesmo no sexo oposto. Ao aceitar estes Apps, muitos usuários não vêem, mas estão concedendo acesso para que o token usado no App permita a coleta de informações e alimente o mercado de Fakenews, com nítida interferência no debate e no contraditório, que deveria ser o natural nas redes sociais, ameaçando a própria Democracia.

Medida sérias para provedores negligentes, lei de proteção de dados pessoais e educação digital, além de incentivo a aplicações ofereçam meios para o usuário detectar uma notícia aparentemente falsa. Não existem segredos para minimizarmos a onda de exposição indevida de dados e combate às notícias fraudulentas.

Ao leitores e usuários do Facebook, recomendo uma extensão do Firefox, chamada Facebook Container (https://addons.mozilla.org/en-US/firefox/addon/facebook-container/), que acaba de ser lançada e assegura maior privacidade ao usuário de Internet, impedindo o compartilhamento de informações de outros sites com a rede social. Acaba assim com a publicidade segmentada e direcionada com base no que o usuário pesquisou ou acessou, atuando sobre os cookies do computador.

José Antonio Milagre é Advogado especializado em Direito Digital, Mestre e Doutorando em Ciência da Informação pela UNESP e pesquisador do Núcleo de Estudos em Web Semântica e Dados Abertos da Universidade de São Paulo.




Direito Digital ganha espaço no mercado

Leia mais em: Depois da ascensão do Direito Digital no mercado de trabalho e na vida das pessoas, a idéia de uma terra sem lei ficou restrita aos filmes de bangue-bangue. Esta área do Direito, que mesmo sem legislação definida tenta colocar ordem no meio virtual e garantir segurança para os internautas, virou uma boa opção para quem escolheu ser advogado.

José Antonio Milagre, Escritório de Advocacia Especializado em Direito Digital




Advogados de Direito Eletrônico e Internet em São Paulo (SP)

É um campo do Direito que se propõe a estudar aspectos jurídicos do uso de computadores e da tecnologia da informação em geral, com fundamento no crescente desenvolvimento da Internet e na importância da tecnologia da informação e da informática nas relações jurídicas, sendo por isso, uma nova área do estudo do Direito.

Conheça o diretório do JusBrasil: https://www.jusbrasil.com.br/advogados/direito-digital-sp-sao-paulo/

José Antonio Milagre é Advogado Especialista em Direito Digital




A exposição inconsciente da dor humana na Internet

Vocês estão preocupados com as fotos e o vídeo do Cristiano Araújo que vazaram? Pois bem, este abismo cultural de pessoas que foram lançadas no mundo digital vem matando e destruindo famílias diariamente. Nos últimos anos convivo com episódios idênticos, de pessoas anônimas, como eu e você. Nada é feito. Em um dos casos, o jovem se acidentou e morreu dilacerado na hora em um grave acidente de veículo, alguém, filmando, fez questão de identificar a família e publicar na Internet detalhes que sequer a família sabia, eternizando a dor. Uma mãe uma vez me procurara pois seu esposo havia se matado da pior forma possível (não gosto nem de citar). Ao filho, de 09 anos, poupou dos detalhes, dizendo que o papai havia ido “morar com Deus”. Um ser vivo sem consciência, adquirente do seu smartphone no carnê das casas Bahia e integrante da perícia criminal realizou vídeos e fotos do homem, morto, enforcado e publicou em blogs marrons de pseudojornalistas, cuja ética é menor do que um grão de mostarda. O filho, na escola, na aula de informática, ao pesquisar pelo nome do pai no Google, identificou seu pai, morto, da pior forma. Até mesmo na minha cidade, uma mulher que foi assassinada com tiro na cabeça por um homem, que também se matou, não foi poupada da filmagens de imbecis que antes de socorrer, hoje preferem registrar, mesmo que a pessoa esteja agonizando! Outros mais imbecis ainda, fizeram o trabalho de espalhar no Facebook, muitos até que reputava pessoas sábias. E os maus exemplos que já lidei vem de médicos (que gravavam intimidades de seus pacientes), policiais (que registraram as mazelas e infortúnios de pessoas), alunos (que sem autorização ridicularizam professores) e de vários segmentos e pessoas, de Secretário de governo ao jovem que na academia, que não resistiu em filmar a bunda de uma jovem que sequer conhecera, e que estava a treinar, publicando no WhatsApp. O celular também hoje é instrumento de vingança, o que já discuti em outro artigo (http://josemilagre.com.br/blog/2015/04/01/a-era-da-vinganca-privada-virtual/) A família de Cristiano Araújo é mais uma vítima a integrar as listas de milhares de famílias, que diariamente, são devassadas em sua privacidade ou piores momentos, graças a ação descontrolada e impensada, muitas vezes incentivada como “prêmios” em grupos específicos no WhatsApp e outras redes sociais. Mas as milhares de pessoas vitimadas são anônimas e foi preciso, mais uma vez, que um famoso passasse pela situação para que houvesse reflexão. Basta imaginar que a Lei Carolina Dieckmann só saiu do papel porque a atriz teria sido vítima de suposto crime, até hoje não comprovado. Não duvido, agora, com os vídeos de Cristiano Araújo, algum “Deputado” propor um projeto de Lei para criminalizar estas condutas. Mais um erro grave. No Brasil, se legisla por ocasião e no que diz respeito à Internet, temos um histórico de péssimas legislações. Temos Lei de Crimes Informáticos, Marco Civil, e no que isto auxiliará a reduzir a dor destas vitimas? Nada. Não precisamos de Leis, precisamos de meios para que o provedores de aplicações não desrespeitem diariamente ordens Brasileiras e parem de proteger até no STF, seus maus usuários, criminosos. Mas principalmente, precisamos refletir imediatamente tais temas nas escolas e na sociedade. Educação Digital! A escola, se quiser formar uma geração minimamente consciente, precisa tratar deste tema agora, apresentando os riscos e os danos que podem ser causados com aparentes “brincadeiras” ou “videozinhos”. Apresentando o direito a privacidade em detalhes. Debatendo conduta virtual. Esta geração está perdida, bando de topeiras com internet banda larga, pessoas que do offline foram lançadas no online sem qualquer dimensão e noção das coisas. Vão continuar registrado todas as suas atividades ao seu menor descuido, cuidado! Podemos mudar as próximas gerações. O quanto você já tratou com seu filho ou filha sobre este tema? Quantos mais vão ser expostos e ridicularizados por ignorantes e analfabetos digitais, que chegam a rir de pessoas despedaçadas, a dar tchauzinho no IML ou a fazer selfie em velório? Sua informação pode evitar muita dor, que não a sua, a de alguém. Denuncie estes maníacos do mundo digital. Não me preocupo com a família de Cristiano Araújo, sinceramente. Certamente eles terão todo o aporte jurídico e advogados da melhor envergadura para tratar o tema (crime). Fica minha dor, preocupação e profundo lamento para com as mães, pais, avós, filhos e principalmente, crianças, comuns como eu e você, e que jamais mereciam passar o que passaram graças a um ou mais animais com celulares nas mãos.




Eleições 2014: Como será o combate a boatos, difamações e falsas acusações a candidatos na Internet?

Mais uma vez, experimentamos um período eleitoral e novamente a Internet apresenta sua relevância na formação da opinião para a decisão do voto. Cientes deste contexto, alguns partidos, candidatos e militantes estão investindo em verdadeiras guerrilhas cibernéticas, aptas a plantar e fazer prosperar desinformações na velocidade da Internet, o que é por demais danoso a qualquer campanha e a reputação de candidatos.

Os apelos são cada vez mais sujos e sempre realizados por meio de perfis genéricos, falsos, fakes, montagens,dentre outros. Opositores recrutam seus guerrilheiros digitais que sem qualquer pudor ou consciência, divulgam fatos mais que inverídicos, mas que impactam diretamente em direitos de personalidade, honra e privacidade de agora candidatos, mas antes mesmo, seres humanos. O compartilhamento do “falso” ocorre como um raio, por pessoas que muitas vezes desconhecem os bastidores do que está sendo “plantado”. Piamente acreditam ou compartilham maliciosamente.

Desprezar e não desmentir estes boatos é o caminho para o fracasso eleitoral. Alguns partidos já criaram páginas de “Centrais de boato” ou  “É mentira”, no escopo de alertarem usuários para as manobras ardilosas e desleais da oposição. Artifícios sujos para validar uma falsa informação são criados, como a “criação de notícias”, falseando a identidade visual de veículos de credibilidade, que também precisam ficar atentos e analisar a rede neste período, evitando responsabilizações. Celebridades declarando seu voto ou repúdio a determinado candidato também é comum, sendo que a pessoa pública sequer sabe que está sendo usada nada Internet.

A propaganda eleitoral na internet é permitida após o dia 5 de julho do ano da eleição e na Internet é proibida qualquer forma de propaganda paga. A propaganda negativa paga também pode ser considerada ilegal, desde que o candidato comprove a “contratação” de pessoas para ficarem postando mentiras na rede e desmascare tecnicamente a armação praticada.

montagemQuanto aos perfis fakes (falsos), é proibido o anonimato durante a campanha eleitoral, devendo o candidato ou partido proceder com a identificação da pessoa por trás de um perfil ofensivo. Nos temos da Lei n.º 12.891/2013: “Sem prejuízo das sanções civis e criminais aplicáveis ao responsável, a Justiça Eleitoral poderá determinar, por solicitação do ofendido, a retirada de publicações que contenham agressões ou ataques a candidatos em sítios da internet, inclusive redes sociais”.

Se os provedores de aplicações ou serviços não removerem conteúdo considerado ilegítimo pela Justiça Eleitoral, após notificados, poderão responder pelo ilícito, respondendo ainda caso constatado que conheciam previamente o conteúdo violador.

Nos termos do art. 57-H da Lei Eleitoral, sem prejuízo das demais sanções legais cabíveis, será punido, com multa de R$ 5.000,00 (cinco mil reais) a R$ 30.000,00 (trinta mil reais), quem realizar propaganda eleitoral na internet, atribuindo indevidamente sua autoria a terceiro, inclusive a candidato, partido ou coligação.

Pensando no uso sujo da Internet para destruir uma campanha ou imagem de um candidato, para o pleito de 2014, está válida a disposição da Lei n.º 12.891/2013 que pune a contratação da  conhecida “guerrilha cibernética”. Prevê a legislação que constitui crime a contratação direta ou indireta de grupo de pessoas com a finalidade específica de emitir mensagens ou comentários na internet para ofender a honra ou denegrir a imagem de candidato, partido ou coligação, punível com detenção de 2 (dois) a 4 (quatro) anos e multa de R$15.000,00 (quinze mil reais) a R$50.000,00 (cinquenta mil reais).

Já para as pessoas contratadas para este serviço “sujo”, a lei prevê punição detenção de 6 (seis) meses a 1 (um) ano, com alternativa de prestação de serviços à comunidade pelo mesmo período, e multa de R$5.000,00 (cinco mil reais) a R$30.000,00 (trinta mil reais). Tudo é questão de prova técnica.

Deste modo, não demais ressaltar, o Marco Civil da Internet, Lei n.º 12.965/2014, obriga provedores de acesso e de aplicações a preservarem dados relativos aos acessos ou uso de seus serviços, muitas vezes usados para más finalidades, dados que poderão ser requeridos judicialmente para apurar a autoria de ofensas, calúnias ou falsas informações na rede. A Justiça Eleitoral deverá ser rápida na análise de questões envolvendo remoções de conteúdo e identificação de usuários infratores, viabilizando à vítima a possibilidade de representação eleitoral e promoção das ações cíveis e criminais cabíveis.

Aos políticos, caberá a estruturação de equipe de inteligência, para monitoramento das principais redes sociais em busca de violações. É imperioso o registro imediato das evidências por meio de perícia técnica em informática e ata notarial, insumos importantes para a adoção dos corretos procedimentos jurídicos para apuração da autoria da fraude e remoção do conteúdo prejudicial e ilegal. Todo o cuidado é pouco.

A consultoria Legaltech é referência em segurança da informação, inteligência cibernética eleitoral e análises forenses e possui time capacitado para atuações em períodos eleitorais, assegurando rapidez, agilidade e eficiência na prestação de serviços especializados a candidatos e partidos. Em São Paulo: (11) 3254-7616 ou pericias@legaltech.com.br




O que fazer em caso de crime na Internet ou contra a privacidade cometido pelo WhatsApp?

O WhatsApp é um dos mais populares aplicativos no Brasil, cresceu pois integrou número de telefone celular a comunicação via Internet, de forma gratuita. Não se justifica mais o envio de torpedos SMS pagos se é possível se comunicar com maior eficiência em uma interface gratuita. Além disso, o aplicativo permite o envio de conteúdo multimídia, áudio e vídeo e a criação de grupos. A aplicação diz ter 38 milhões de usuários no Brasil. 430 milhões de usuário no mundo.

A qualquer cidadão, com um pacote mínimo de dados é permitido se valer dos benefícios do mensageiro. Porém, tal aplicação, hoje de responsabilidade do provedor de serviços Facebook, vem sendo utilizada como plataforma para a pratica de crimes eletrônicos, nomeadamente, compartilhamento de conteúdo ofensivo, ameaçador, difamatório e envolvendo crimes de intolerância e pornografia infantil.

Graças a possibilidade de criação de grupos, usuários podem criar “grupos fechados” e adicionar somente quem desejar. Quem é adicionado não recebe um convite mas entra de imediato, devendo deixar o grupo caso não se sinta confortável. E se o grupo compartilhava conteúdo ilegal? Seu nome pode ser listado como um participante, mesmo não tendo aceitado convite algum.

Diante da vingança pornô, ou da cópia indevida de fotos e vídeos íntimos, privados ou de cunho sexual envolvendo uma pessoa, era comum a criação de blogs anônimos, perfis ou páginas em redes sociais divulgando o conteúdo “caiu na rede”. De posse da “URL” ou do link específico da postagem (com a numeração do usuário (id), página ou postagem) era possível mover ação para identificação da pessoa por trás da ofensa, bem como para remoção do conteúdo.

Porém, no Whatsapp, vítimas de crimes na Internet sofrem com uma agravante: A mensagem com conteúdo inverídico corre de celular para celular, ponto a ponto, ou mesmo é postada em grupo que sequer a vitima faz parte ou conhece, sendo que muitas vezes não tem como especificar o “local”, dentro do serviço, em que o conteúdo fora compartilhado, quanto mais precisar “qual” telefone realizou a postagem inicial.

Os tempos são outros. Se antes a vítima comparecia à polícia ou a um escritório de advocacia com cópias das postagens, hoje comparece informando que “ouviu dizer” que em algum no lugar no WhatsApp suas fotos ou vídeos em situação íntima estão circulando.

E o cenário se ultraja, pois com a Lei 12.965/2014, o Marco Civil da Internet, nos termos do seu art. 21, o provedor deverá indisponibilizar, tão logo notificado extrajudicialmente, o conteúdo envolvendo imagens, vídeos ou outros materiais contendo cenas de nudez ou de atos sexuais de caráter privado em relação a vítima, sob pena de ser responsabilizado. Por outro lado, esta notificação deverá ter elementos que permitam a identificação específica do material apontado como violador da intimidade. Mas como identificar?

Neste contexto, algumas orientações e procedimentos simples podem auxiliar aqueles que tiveram problemas com o uso indevido do WhatsApp para a divulgação de conteúdo íntimo:

 1.     Converse com quem viu a mensagem ou que participa do grupo referido e verifique se podem lhe transmitir o conteúdo ou pelo menos indicar os nomes dos grupos, nomes ou números telefônicos das pessoas responsáveis pelo conteúdo ofensivo; Lembrando que se conseguir entrar no grupo, só verá as mensagens posteriores ao ingresso;

 2.     Tenha em mente que o nome que aparece em um contato pode ser fantasiado, então, busque pelo número de telefone utilizado pelas mensagens; Embora com certeza usuários e grupos tenham um “ID” na aplicação, ao contrário de outras redes sociais, tal dado não é exibível ao público;

 3.     Se algum amigo recebeu o conteúdo, ele pode fazer um backup da conversa e remeter para um e-mail ou mesmo lhe remeter o conteúdo; Se algum conhecido é participante do grupo, ele pode extrair uma lista de todos os participantes;

 4.     Você não vai conseguir pesquisar por repositório de grupos na Internet e só consegue entrar em um grupo se te adicionarem – O que é bem diferente das redes sociais convencionais; Por outro lado, considere o Google na busca por pessoas mencionando o grupo no Whatsapp;

 5.     Uma pessoa pode estar cadastrada no Whatsapp com um numero que não mais detém ou (em casos específicos) de terceiros; Cuidado em tomar conclusões precipitadas. Converse com um perito digital; Jamais processe alguém por achismo ou presunção;

 6.     Registre todo o material envolvendo o conteúdo ofensivo, se necessário lavre uma ata notarial, onde um cartório irá constatar que acessando a aplicação pelo usuário x, na data e hora y, obteve acesso ao conteúdo ilegal;

 7.     É um erro processar a operadora de telefonia ou provedor de Internet para que forneça dados de um usuário do Whatsapp; Embora o WhatsApp atue com números telefônicos (como ID na aplicação), cada usuário faz um cadastro independente no sistema. O provedor de conexão deverá ser acionado após a vitima descobrir o Ip ou os dados do telefone do responsável;

 8.     No pedido de dados de acesso a aplicação, solicite também os números telefônicos cadastrados e o IMEI (número de série  do equipamento) (O WhatsApp registra esta informação);

 9.     De posse dos dados cadastrais do responsável pela publicação do conteúdo (após fornecimento dos dados pelo provedor de conexão ou telefonia), pode ser o caso da determinação judicial de uma busca e apreensão do equipamento celular para verificar se o conteúdo lá se encontra, podendo os chats serem recuperados mesmo após a exclusão;

 10.  Ordem judicial específica poderá requerer o extrato das comunicações feitas de um usuário WhatsApp para outro.

Com estas orientações e medidas a vítima minimizará a dificuldade de apuração da autoria de um crime virtual cometido na plataforma, lembrando que, embora o WhatsApp declare em seus termos que está sob a Lei da Califórnia, ao tratar informações de brasileiros, deve oferecer foro no Brasil para resolução de litígios e principalmente, está obrigado, pelo Marco Civil da Internet, a guardar os registros de acesso a aplicação por 6 (seis) meses. Portanto, a vitima deve agir rapidamente.




Anulação do negócio jurídico com Startups

Uma advocacia especializada é fundamental quando a temática é a constituição de uma Startup, empresa jovem de base tecnológica. Além da constituição empresarial e proteção intelectual, a assessoria é fundamental para planejar a questão tributária e aspectos envolvendo a Lei de Inovação (10.973/2004). Já escrevi sobre cuidados jurídicos ao tentar alavancar sua Startup (http://www.profissionaisti.com.br/2011/08/cuidados-juridicos-ao-tentar-alavancar-sua-startup-digital-ou-de-internet/)

Porém, pós fase de constituição, o empreendedor lidará constantemente com empreendedores, consultores, investidores anjo ou terceiros. Neste momento devemos ter cuidado com a confidencialidade do negócio pois como em todos os mercados, muitos “especuladores” surgem apenas para terem acesso a ideia. O Acordo de confidencialidade é fundamental e não constitui excesso de formalismo, mas sim boa prática.

Evidentemente, em algum momento da evolução das relações, haverá uma alteração societária, se o investimento ocorrer. Ela pode se dar diante de investimentos de pessoas jurídicas ou mesmo de pessoas físicas (anjos).

Normalmente os investidores anjo serão minoritários no negócio (embora existam exceções). Sabemos que o dono do smart money não necessariamente conhece o negócio, como deveria ser, por isso este contrato deve manter a questão administrativa e executiva na mão do empreendedor. Atribuir ao investidor uma posição de “conselho” é interessante, mas a gestão administrativa deve ser vista com ressalvas.

Em inúmeras situações, esta permissão, tornando o investidor um administrador, foram responsáveis pela quebra de um negócio potencialmente promissor. Nem todo o investidor conseguirá aplicar algo além do que dinheiro no negócio.

No que tange à alteração contratual para ingresso de sócios, é importante que o empreendedor fiscalize se a formalidade prevista em lei vem sendo adotada, pois do contrário o negócio poderá ser considerado a qualquer momento nulo (art. 166 do Código Civil). É importante ter em mente que tudo que foi acordado deve estar no papel, sem exceções. Por exemplo se alguém terá 20% (vinte por cento) do capital, não poderá receber apenas 2% (dois por cento), ou mesmo, outra pessoa receber por ele.

Este tipo de manobra pode ser considerada pela justiça como “negócio simulado”, sendo este, aquele negócio em que aparenta transferir direitos a pessoas que efetivamente não receberam tais direitos na prática.

Importante registrar que um negócio jurídico nulo não se convalida com o tempo, diga-se, mesmo após dez anos atuando neste formato, por exemplo, a nulidade poderá ser declarada pela Justiça e tudo poderá ser desfeito.

Por fim, pode ocorrer de consultores passarem informações sobre negócio erradas ao investidor ou mesmo ao empreendedor, fazendo que com estes tomem decisões de investimento ou abertura de capital com base em informações errôneas.

Pode haver também omissões aos investidores de fatos que se soubessem, jamais procederiam com o aporte financeiro na Startup. Para a Lei Brasileira, estamos diante de um defeito do negócio jurídico, o dolo. Nesta situação, a parte interessadas terá o prazo de  4 (quatro) anos para  pleitear anulação do negócio jurídico, com a restituição do investido e eventual reparação por perdas e danos (Art. 145 e seguintes do Código Civil).

Estas são garantias que o Código Civil Brasileiro assegura e que amparam empreendedores e investidores diante de falhas negociais. Logicamente, tais nulidades ou anulabilidades deverão passar pelo crivo da justiça, que deverá reconhecer as mesmas. Vale a pena investir em uma consultoria jurídica preventiva, a arriscar-se em contratos com vícios e pontos enganosos, onde os prejuízos poderão até mesmo representar a extinção precoce de uma possivelmente promissora startup.




Responsabilidade dos provedores de hospedagem por invasão: Culpa do sistema ou do provedor?

Você mantém um site rodando sobre o motor wordpress, disponível via painel de controle em uma hospedagem qualquer. Estima-se que 19% dos sites rodem sobre WordPress. Seguiu todos os passos para o hardening, revisou http://codex.wordpress.org/pt-br:Blindando_o_WordPress e mesmo assim está encontrado problemas com injection, file include ou invasões.

Alterou a senha do blog, ftp e do banco de dados. Nada resolve. Alterou os prefixos das tabeas wp_, alterou as permissões, criou um novo usuário administrativo, removeu plugins, criou index.html em diretórios, ocultou a versão do seu CRM,  tunou o .htaccess, instalou plugins de scannes de vulnerabilidades e nada…

Então, ao identificar o ip (no Bing, Ip:seu número de IP) para seu site descobre se tratar de um servidor com dezenas de sites. Um servidor compartilhado. Não há hardening de WordPress que resista a um servidor compartilhado comprometido.

Quais as medidas de segurança que o provedor está adotando para proteger seus arquivos? Em servidores compartilhados as permissões de alterações de arquivos pode ser fatal. E o pior, o provedor pode “abafar” sua vulnerabilidade, alegando que não encontrou problema algum. E o usuário, muitas vezes consumidor, se complica para provar pois não tem acesso à infra do provedor.

O grande problema é que diante de tais incidentes, o primeiro cenário é buscar entender o que aconteceu com o provedor de hospedagem. Lamentavelmente, muitos  provedores irão sempre jogar a culpa no código do cliente, nunca no servidor. Em alguns casos, simplesmente  dizem que nada aconteceu, mesmo você mostrando para o helpdesk registros na tabela wp_posts cheios caracteres “estranhos” e posts não criados pelo administrador.

Sob o prisma jurídico, não há duvida que o provedor pode ser responsável, sobretudo quando alega que o problema é no seu código. É possível provar com um pentest que não é o código o problema!

O provedor, diante de um incidente,  deve restaurar backup anterior a invasão e imediatamente encaminhar os logs (access) e outras informações. O backup deve envolver o banco de dados e é questionável a cobrança pela restauração de backups dos clientes.

Já se decidiu na justiça brasileira que a ausência de backup ou a corrupção do mesmo pelo cracker, pode ensejar responsabilização do provedor de hospedagem.

Mesmo o provedor tendo restabelecido o serviço, é direito do consumidor de serviços descobrir data e hora do acesso indevido, vulnerabilidade explorada e técnica utilizada. Se o provedor alega que se trata de um injection ou uma vulnerabilidade no seu código que permitiria a injeção de um shell, mas não existe nada nos logs, esta afirmação pode não corresponder à realidade, sobretudo se o incidente se repetir.

Cabe, neste caso, a atuação com uma perícia ou auditoria externa, para constatar efetivamente se a afirmação do fornecedor de hospedagem realmente procede. Com a perícia em informática, pode-se identificar, por exemplo, vulnerabilidade no servidor ou serviços desnecessários rodando, não iniciados pelo cliente, sendo o caso de responsabilização do provedor.

Em Minas Gerais, ao julgar o recurso de apelação 433.758-0 (2.0000.00.433758-0/000.), o então Tribunal de Alçada responsabilizou provedor de hospedagem em caso em que defacer invadiu site e anexou fotos pornográficas no site da vítima. Por outro lado, nos termos do inciso II, parágrafo 3o. do Art. 14 do Código de Defesa do Consumidor, o provedor poderá provar culpa exclusiva da vitima, que por exemplo, não protegia o arquivo wp-config.php, permitindo que qualquer um conhecesse a senha para acesso ao banco de dados, ou mesmo mantinha uma senha fraca para seus serviços.

Recentemente, em 2013, um provedor foi condenado por não garantir segurança ao cliente, permitindo a invasão (http://www.ebc.com.br/tecnologia/2013/08/microsoft-e-condenada-a-indenizar-consumidora-que-teve-perfil-invadido)

Outro julgado pode ser encontrado em http://www.migalhas.com.br/arquivo_artigo/art20130828-11.pdf

A controvérsia é técnica e será decidida pela justiça. Vale quem produzir a melhor prova. Mais uma vez a perícia informática é fundamental, desta vez, para o prestador de serviços de hospedagem que pretenderá demonstrar que o problema não era com sua infra.

Seja como for, recomenda-se a ambas as partes o registro de todas as telas e detalhes da invasão, bem como das conversações (suporte, chamados, helpdesk, etc.) envolvendo o incidente. A coleta de evidências dever ser ágil sim, mas sempre preceder qualquer medida para “apagar” o exploit ou arquivos plantados pelo atacante no FTP, pois serão provas em juízo. O contrato deve ser revisto, sempre, pois ele limitará, no que não for nulo ou abusivo, os direitos e deveres entre as partes, diante de um incidente.

Recomenda-se, em caso de servidor aberto ou compartilhado, mediante um ajuste com o prestador de serviços, a utilização do OSSEC (http://www.ossec.net/), que permite a análise de logs rapidamente, permitindo ainda monitorar arquivos quando os mesmos são alterados, garantindo a possibilidade de uma resposta rápida a um incidente.

Para segurança em WordPress, por fim,  recomendamos o ebook http://ithemes.com/wp-content/uploads/downloads/2013/12/WordPress-Security-ebook.pdf




Avião da Malaysia Airlines: Por que os celulares chamam e depois e caem…

Os celulares dos passageiros do avião que desapareceu na Malásia continuam chamando, mas não necessariamente tocando. Normalmente, trata-se daquele toque inicial antes de cair a ligação, o que para muitos significa que o proprietário do equipamento “desligou” ou “não quer falar ou atender a ligação”. Para alguns ainda, o fato trata-se “de um equipamento que não está desligado”.

Porém isso não significa triangulação. O especialista em tecnologia Jeff Kagan deu importantes esclarecimentos à NPR. Segundo ele, este primeiro toque antes de cair não significa que o equipamento esteja efetivamente tocando ou que seja possivel triangular os dados para se chegar a localização das pessoas.

Para o perito, o processo de tocar uma vez simplesmente pode significar que a operadora está procurando localizar o telefone, com base no último lugar de uma chamada completa. Seria, a primeira chamada, um lapso entre o “estamos buscando o celular” e o “sua chamada está sendo encaminhada para a caixa postal e estará sujeita à cobrança após o sinal”.

O “flight mode”, configuração necessária aos passageiros, também pode cooperar para o toque, que dá a impressão de um celular ligado ou em funcionamento. Ademais, um aparelho pode chamar mais de uma vez, o que não significa que este esteja tocando do outro lado. Vale a orientação a namorados, namoradas, noivos, noivas, maridos e esposas!

Comentando a questão, não tenho dúvidas que muitas evidências ainda podem ser encontradas com base em dispositivos eletrônicos e redes sociais das vítimas. As autoridades continuam ligando para os números e buscando triangulação. É comum e compreensível que familiares entendam que um toque no equipamento móvel tão íntimo ao passageiro seja como ouvir “respiração” de um ente querido. Esperamos e acreditamos que resultados esclarecedores podem vir da análise dos vestígios digitais gerados por passageiros e tripulação.

Referências:

http://www.npr.org/blogs/thetwo-way/2014/03/11/288998085/ringing-phones-do-not-mean-malaysian-passengers-are-ok

http://gizmodo.uol.com.br/por-que-os-celulares-de-passageiros-do-misterioso-voo-que-sumiu-continuam-tocando/




Lei Carolina Dieckmann está valendo: O que muda na Segurança da Informação e quais os impactos na Sociedade?

Entra em vigor no dia 02 de abril de 2013, no Brasil, a Lei Carolina Dieckmann, número 12.737/2012, que tipifica os crimes cibernéticos (crimes informáticos).  A Lei, fruto de um casuísmo, em que o inquérito policial relativo a suposta invasão do computador da atriz sequer foi concluído, e nenhuma ação penal intentada (porém os acusados mais que pré-julgados), passa a punir determinados delitos, como a “invasão de dispositivos informáticos”, assim dispondo especificamente:  Art. 154-A.  Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:  Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.  

Invadir significa devassar, entrar a força. Esta “invasão” deve se dar em um dispositivo informático, que embora esteja associado a um “hardware” que armazena, trata ou processa informações ou dados, possa ter sua interpretação estendida por autoridades nos casos de invasão de ativos lógicos como um disco virtual, rede social, webmail de um serviço web ou ativos lógicos protegidos que armazenem informações (Embora tais interpretações devam ser freadas pelo principio da legalidade, é o que esperamos.)

Deve-se esclarecer que a invasão, para ser criminosa, deve se dar sem a autorização expressa ou tácita do titular dos dados ou do dispositivo. Logo, o agente que realiza teste de intrusão “pentest”, não pode ser punido, por não estarem reunidos os elementos do crime. Caberá, no entanto, às empresas de segurança e auditoria, adaptarem seus contratos de serviços e pesquisa neste sentido, prevendo expressamente a exclusão de eventual incidência criminosa nas atividades desenvolvidas.

Já as intrusões em sistemas cujo titular não autorizou, poderão ser consideradas condutas criminosas, desde que comprovado que o agente o fez com o objetivo de obter, adulterar ou destruir dados ou informações ou instalar vulnerabilidade para obtenção de vantagem ilícita.

A questão da finalidade de “obter dados” é também polêmica. Para um grupo de juristas, a “espiada” não seria crime, só se falando em obtenção nos casos de cópia dos dados do dispositivo, ou quando o agente entra na “posse dos dados”. Para outra corrente, o simples acesso a dados (um select na tabela da vítima, por exemplo) já agride o bem jurídico protegido pelo Direito Penal, e demonstra a “intenção em obter dados” eis que já permite ao cracker, em certos casos, se beneficiar das informações, de modo que tal “contato” com os dados estaria inserido no contexto do “obter dados”, previsto no tipo penal.

É o Judiciário quem vai interpretar esta questão, porém ao contrário do que alegam alguns advogados, não é necessário a cópia dos dados para a prática do crime, pois trata-se de crime formal e de perigo abstrato, diga-se, basta a invasão com a “intenção da obtenção dos dados”. Tal fato poderá ser provado por perícia técnica.

O agente que realiza o footprinting (levantamento de informações do alvo) com programas como nmap ou outro scanner, apenas para identificar se o alvo está ativo, as vulnerabilidades do sistema, portas abertas, serviços desnecessários rodando, sistema operacional, dentre outros, em tese não comete crime, pois atos preparatórios não são puníveis e o agente não chegou a dar início a invasão (ato executório)

Deste modo, quem encontra vulnerabilidade em sistema alheio, mesmo sem autorização para pesquisa, e comunica o administrador, está realizado a “revelação responsável”, não podendo incidir nas penas o art. 154-A, agora previsto no Código Penal. Já a prova de conceito, desenvolvida por quem descobre falha em ativo, sem autorização do titular, dependerá da apreciação pericial para se verificar como afetava o dispositivo atingido e qual foi a extensão decorrente da PoC.

É possível também se pensar na invasão tentada, onde o agente chega a executar a invasão, mas é impedido pelo time de resposta a incidentes, equipe de forense, ou IDS (Intrusion Detection System) que detecta o evento em tempo de execução. Caberá ao perito digital avaliar se os códigos executados tinham aptidão técnica para que o agente pudesse ter acesso às informações, manipulá-las ou para “instalar vulnerabilidades”(sic).

O agente que invade sistema, sem autorização, para tão somente demonstrar a insegurança e cooperar para o aprimoramento dos controles, em tese não responde pelo crime. Tal intenção poderá ser demostrada pelas fases da sua conduta (sempre menos ofensiva à empresa ou titular do dispositivo) ou mesmo pela atuação pericial ou depoimentos, no decorrer de eventual inquérito policial ou ação penal.

Outras formas de acesso indevido, onde não ocorre a “invasão”, que é conduta comissiva/ativa, podem não se enquadrar no tipo penal. Assim, na engenharia social que faz com que a vitima forneça credenciais de acesso ou mesmo acesse voluntariamente determinado programa que libera o acesso a seu dispositivo, fica eliminada, em tese, a incidência do delito em comento, podendo o agente, diante do caso concreto, responder por outros delitos do Código Penal, de acordo com a extensão do dano.

Do mesmo modo, o acesso indevido feito por um agente através de protocolo RDP (Remote Desktop Protocol) ou tecnologias como Terminal Service, VNC, PCAnywhere, Logmein, dentre outras, não caracterizam invasão se o serviço de “assistência remota” foi habilitado pelo titular do dispositivo sem qualquer mecanismo de autenticação, o que equivaleria a uma “autorização tácita” do titular do dispositivo para acessos.

No que diz respeito a empresas de pesquisa e segurança da informação, a Lei tenta “imitar” os princípios da convenção de Budapeste, também punindo aquele que produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da invasão. Temos que entender ou “ler”, no intuito de permitir a prática da invasão com fins ilícitos, tal como previsto no artigo 154-A (A Convenção do Cibercrime de Budapeste recomenda até mesmo a punição de quem disponibiliza senhas para acesso a ativos de terceiros).

Assim, distribuições Linux como Backtrack, programas para invasão como sqlmap, havij, e frameworks como Metasploit, são amplamente utilizados por profissionais de segurança e empresas na consecução dos seu trabalhos, e não poderão ser confundidos, por autoridades, com por exemplo, códigos para coleta de dados de cartão de crédito, Keyloggers bancários desenvolvidos especificamente para lesar correntistas, dentre outros códigos que por sua natureza e diante do contexto do caso concreto, avaliada por perito digital, restar claro não se tratar de ferramentas usadas para “boas finalidades”.

Porém repise-se. Não é a ferramenta que define a finalidade do agente, mas o próprio agente define como usar a ferramenta, para boas ou más finalidades. Infelizmente, o legislador não pensou nesta hipótese. Caberá dose extraordinária de bom-senso às autoridades e observância às conclusões da perícia em geral para constatar que não é porque alguém é encontrado distribuindo ferramentas que permitem invasão que este alguém é um criminoso.

Para pesquisadores e profissionais que desenvolvem exploits, provas de conceito, códigos, frameworks, ferramentas de pentest, caberá a revisão das políticas de uso e distribuição dos referidos programas, fazendo menção expressa à ausência de responsabilidade do desenvolvedor diante do mau uso, consignando expressamente a finalidade lícita da criação da ferramenta.

Por fim, repise-se que a invasão, para caracterizar conduta criminosa, deve ocorrer em ativo protegido por mecanismo de segurança. Resistimos a simplicidade daqueles que entendem que basta uma senha no dispositivo para que ele esteja “protegido”, logo preenchendo os requisitos da lei.  Poderemos ter a hipótese de um sistema operacional, por exemplo, Windows, com senha, mas que tem uma vulnerabilidade no navegador nativo (MS11_003 por exemplo). Nestes casos a perícia deverá constatar que a despeito da senha, a máquina estava “desprotegida”, com patches desatualizados e que o titular, por sua conta e risco assim mantinha o serviço na rede em um sistema defasado.

Logo, é preciso esclarecer que nem todo o dispositivo “com senha” está com efetivo “mecanismo de segurança” e, consequentemente, nem todo a invasão a dispositivo “com senha”, poderá ser considerada conduta criminosa, como muitos pensam. Cada caso é um caso. Por outro lado, a lei também veio para proteger usuários comuns, pessoas físicas, logo, não se pode engessar a aplicabilidade porque tal usuário não empreendeu o “melhor” mecanismo de segurança existente para proteger seu ativo. É preciso repetir, cada caso deverá ter suas características e circunstâncias avaliadas pelo Judiciário, não existindo solução pronta.

Seja como for, a segurança da informação, agora, passa a ser não apenas útil para impedir que o ato potencialmente criminoso ocorra, garantindo a disponibilidade, integridade e confidencialidade da informação, mas, em caso de invasão consumada,  para que o criminoso possa responder criminalmente.

Como visto, a não conformidade em segurança da informação, agora, pode representar claramente a impunidade em casos de invasão, pois não se pode invadir o que está “aberto”, por nítida falha, negligência, imprudência ou imperícia dos contratados e que tinham o dever de garantir segurança do ativo de informação de alguém.

***

Para saber mais sobre a Lei 12.737/2012 e impactos na segurança da informação:

***

I Congresso de Direito Digital e Segurança Informática – Primeiro Congresso após a vigência da Lei será realizado em 13/04/2013 – Inscrições gratuitas – Acesse

Captura de tela 2013-03-30 às 21.08.22

***

Lei na íntegra: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm

***

José Antônio Milagre é Perito e Advogado especializado em Tecnologia da Informação Twitter: http://www.twitter.com/periciadigital      E-mail jose.milagre@legaltech.com.br Site: www.legaltech.com.br Face: http://www.facebook.com/josemilagre