1

Responsabilidade dos provedores de hospedagem por invasão: Culpa do sistema ou do provedor?

Você mantém um site rodando sobre o motor wordpress, disponível via painel de controle em uma hospedagem qualquer. Estima-se que 19% dos sites rodem sobre WordPress. Seguiu todos os passos para o hardening, revisou http://codex.wordpress.org/pt-br:Blindando_o_WordPress e mesmo assim está encontrado problemas com injection, file include ou invasões.

Alterou a senha do blog, ftp e do banco de dados. Nada resolve. Alterou os prefixos das tabeas wp_, alterou as permissões, criou um novo usuário administrativo, removeu plugins, criou index.html em diretórios, ocultou a versão do seu CRM,  tunou o .htaccess, instalou plugins de scannes de vulnerabilidades e nada…

Então, ao identificar o ip (no Bing, Ip:seu número de IP) para seu site descobre se tratar de um servidor com dezenas de sites. Um servidor compartilhado. Não há hardening de WordPress que resista a um servidor compartilhado comprometido.

Quais as medidas de segurança que o provedor está adotando para proteger seus arquivos? Em servidores compartilhados as permissões de alterações de arquivos pode ser fatal. E o pior, o provedor pode “abafar” sua vulnerabilidade, alegando que não encontrou problema algum. E o usuário, muitas vezes consumidor, se complica para provar pois não tem acesso à infra do provedor.

O grande problema é que diante de tais incidentes, o primeiro cenário é buscar entender o que aconteceu com o provedor de hospedagem. Lamentavelmente, muitos  provedores irão sempre jogar a culpa no código do cliente, nunca no servidor. Em alguns casos, simplesmente  dizem que nada aconteceu, mesmo você mostrando para o helpdesk registros na tabela wp_posts cheios caracteres “estranhos” e posts não criados pelo administrador.

Sob o prisma jurídico, não há duvida que o provedor pode ser responsável, sobretudo quando alega que o problema é no seu código. É possível provar com um pentest que não é o código o problema!

O provedor, diante de um incidente,  deve restaurar backup anterior a invasão e imediatamente encaminhar os logs (access) e outras informações. O backup deve envolver o banco de dados e é questionável a cobrança pela restauração de backups dos clientes.

Já se decidiu na justiça brasileira que a ausência de backup ou a corrupção do mesmo pelo cracker, pode ensejar responsabilização do provedor de hospedagem.

Mesmo o provedor tendo restabelecido o serviço, é direito do consumidor de serviços descobrir data e hora do acesso indevido, vulnerabilidade explorada e técnica utilizada. Se o provedor alega que se trata de um injection ou uma vulnerabilidade no seu código que permitiria a injeção de um shell, mas não existe nada nos logs, esta afirmação pode não corresponder à realidade, sobretudo se o incidente se repetir.

Cabe, neste caso, a atuação com uma perícia ou auditoria externa, para constatar efetivamente se a afirmação do fornecedor de hospedagem realmente procede. Com a perícia em informática, pode-se identificar, por exemplo, vulnerabilidade no servidor ou serviços desnecessários rodando, não iniciados pelo cliente, sendo o caso de responsabilização do provedor.

Em Minas Gerais, ao julgar o recurso de apelação 433.758-0 (2.0000.00.433758-0/000.), o então Tribunal de Alçada responsabilizou provedor de hospedagem em caso em que defacer invadiu site e anexou fotos pornográficas no site da vítima. Por outro lado, nos termos do inciso II, parágrafo 3o. do Art. 14 do Código de Defesa do Consumidor, o provedor poderá provar culpa exclusiva da vitima, que por exemplo, não protegia o arquivo wp-config.php, permitindo que qualquer um conhecesse a senha para acesso ao banco de dados, ou mesmo mantinha uma senha fraca para seus serviços.

Recentemente, em 2013, um provedor foi condenado por não garantir segurança ao cliente, permitindo a invasão (http://www.ebc.com.br/tecnologia/2013/08/microsoft-e-condenada-a-indenizar-consumidora-que-teve-perfil-invadido)

Outro julgado pode ser encontrado em http://www.migalhas.com.br/arquivo_artigo/art20130828-11.pdf

A controvérsia é técnica e será decidida pela justiça. Vale quem produzir a melhor prova. Mais uma vez a perícia informática é fundamental, desta vez, para o prestador de serviços de hospedagem que pretenderá demonstrar que o problema não era com sua infra.

Seja como for, recomenda-se a ambas as partes o registro de todas as telas e detalhes da invasão, bem como das conversações (suporte, chamados, helpdesk, etc.) envolvendo o incidente. A coleta de evidências dever ser ágil sim, mas sempre preceder qualquer medida para “apagar” o exploit ou arquivos plantados pelo atacante no FTP, pois serão provas em juízo. O contrato deve ser revisto, sempre, pois ele limitará, no que não for nulo ou abusivo, os direitos e deveres entre as partes, diante de um incidente.

Recomenda-se, em caso de servidor aberto ou compartilhado, mediante um ajuste com o prestador de serviços, a utilização do OSSEC (http://www.ossec.net/), que permite a análise de logs rapidamente, permitindo ainda monitorar arquivos quando os mesmos são alterados, garantindo a possibilidade de uma resposta rápida a um incidente.

Para segurança em WordPress, por fim,  recomendamos o ebook http://ithemes.com/wp-content/uploads/downloads/2013/12/WordPress-Security-ebook.pdf




Marco Civil da Internet é aprovado: O que muda para as vítimas de crimes virtuais e para os provedores?

Em 25/03/2014 o Marco Civil da Internet foi, enfim, aprovado na Câmara dos Deputados. O PL 2126/2011 segue agora para o Senado. A aprovação só foi possível pois o PMDB, um dos maiores críticos ao projeto, mudou de ideia e decidiu aprovar o texto (retirando suas restrições).

Para o PMDB o “notice e take down” deveria existir quando se tratasse de remoção de conteúdos ilícitos. Logicamente que a proposta não passaria e a regra continua sendo a ordem judicial. Por outro lado, o texto ainda precisa ser melhorado no Senado Federal.

Na composição atual, o Provedor só é responsabilizado se notificado judicialmente, não remover o conteúdo apontado. Ocorre que no dia-a-dia, o provedor é notificado para remover o conteúdo e informar os dados que possam indicar a autoria do conteúdo. E se não indicar? Pelo projeto, não poderia ser responsabilizado, pois o texto é expresso em consignar que a responsabilização só deverá ocorrer se este não remover o conteúdo. Impunidade. Embora possa ser responsabilizado por um juiz de direito, trata-se de uma disposição que poderia estar expressa no texto e auxiliaria e muito pessoas que são diariamente vítimas de crimes cibernéticos e que se deparam com a informação de que “não temos os dados” por parte de alguns provedores.

Mas é um avanço, pois a partir de agora existe a garantia da proteção dos dados dos usuários de Internet e principalmente, em breve teremos base legal para responsabilizar provedores de conteúdo e serviços diante das variadas modalidades de violação à privacidade de usuários.

Para o cidadão, este poderá ser valer de perícia em informática para constatar utilização indevida de dados ou mesmo coleta de dados além do necessário por serviços de internet, comprovando a violação que poderá lhe ensejar direito a reparação por danos morais e eventualmente, materiais, com amparo no Marco Civil.

Igualmente, pela garantia do art. 11, mesmo que o provedor de serviços seja internacional ou com sede em outro país, é a Lei Brasileira que se aplicará ao processamento de dado de brasileiros, se pelo menos uma das operações de processamento (como a coleta), se der no Brasil.

Ainda, deverá ser rápido o cidadão em buscar a perícia e as medidas jurídicas para apuração da autoria, caso seja vítima de crime cibernético pois de acordo com o texto, provedores de serviços deverão manter por 6 (seis) meses os logs de acesso aos serviços (art. 15). Já os provedores de acesso, comumente acionados após o fornecimento dos dados pelos provedores de serviço, deverão guardar os registros de conexão por 1 (um) ano (art. 14).

A norma prevê ainda, em seu art. 21, em casos de crimes envolvendo divulgação de fotos e conteúdos de cunho sexual, íntimo, ou com cenas de nudez, a possibilidade da vitima ou representante legal diretamente notificar o provedor de conteúdo, requerendo a remoção. Este será subsidiariamente responsável pela violação da intimidade, se não indisponibilizar este conteúdo. Ou seja, especificamente para os casos acima narrados, dispensou-se a ordem judicial para remoção do conteúdo, bastando a notificação da vítima ou seu advogado, assumindo o provedor o risco, se decidir manter o conteúdo no ar.

O texto deverá provocar uma revisão dos processos e termos de uso de provedores de acesso, conteúdo e serviços, sobretudo para manterem a conformidade com a futura norma. Igualmente, sistemas que coletem dados massivos ou informação não agregadas precisarão ser revisados, de modo a se verificar se estão ou não dentro da “Constituição da Internet”. Sites e lojas de comércio virtual necessitarão também readequar suas políticas e termos, adequando-se as garantias do Marco Civil, evitando problemas futuros.

Recomenda-se uma revisão completa de termos de uso, política de privacidade e de abusos de portais e serviços disponíveis na web e que manipulem dados pessoais. Ainda, provedores deverão conceber um claro processo para recepção de ordens judiciais e processamento para remoção de conteúdos, bem como um processo que apresente total transparência no trato com dados pessoais.

O texto segue para o Senado, onde poderá alterado.

Acesse o texto final completo do Marco Civil aqui




A “última” versão do Marco Civil da Internet, investigação e direitos do cidadão

A ultima versão do Marco Civil (Proposta do Relator, 12/02/2014) acrescenta ao art. 3o. o princípio da “liberdade dos modelos de negócios”, porém condicionada a não conflitarem com os princípios estabelecidos na Lei.

Não há dúvidas que muitos modelos de negócios das teles e provedores ferem e ferirão o Marco Civil, o que vai gerar para o cidadão o direito de questionar na Justiça os modelos e até mesmo ser reparado financeiramente, em alguns casos, em prestígio à neutralidade da rede.

Do mesmo modo, tendo em vista o art. 7o. do Projeto em estudo, todo o cidadão que se sentir violado em sua intimidade e vida privada terá fundamentação para processar os provedores responsáveis, sejam eles de conexão ou serviços (aplicações). Ademais, o Marco Civil vem a reforçar e embasar as ações reparatórias e cominatórias em face de provedores que não honram com a velocidade e qualidade contratada. Importante destacar que tais ações devem ser embasadas com laudo técnico.

Está consolidado agora, no Marco, que às relações virtuais aplicam-se as garantias do Código de Defesa do Consumidor.

No que tange à investigação, continua mantida a obrigatoriedade de ordem judicial  para o fornecimento de comunicações privadas. A Polícia e MP não conseguiram passar a disposição que permitia o fornecimento de dados por mera requisição direta. Por outro lado, pela nova versão do Marco Civil, autoridades administrativas podem ter acesso aos dados cadastrais de investigados.

O art. 11 traz aos provedores de conexão e aplicações do Brasil a obrigatoriedade de estarem em conformidade com a legislação no que tange a coleta, guarda, armazenamento e tratamento de dados, bem como em relação ao respeito a privacidade dos clientes. Isso demandará a revisão dos processos à luz das melhores práticas internacionais de segurança e privacidade.  A não conformidade pode representar sanções graves a estes prestadores.

O dever de guarda de logs (registros das atividades na Internet) pelos provedores de conexão fica estabelecido em 1 (um) ano nos termos do art. 14, podendo tais registros serem custodiados por mais tempo, se requerido por autoridade policial, administrativa ou Ministério Público.

Já os provedores de aplicações (serviços) deverão manter registros por 6 (seis) meses, nos termos do art. 16. Vítimas de crimes digitais deverão ser rápidas em acionar o Judiciário, sob pena de não conseguirem identificar o agressor, tendo em vista o tempo fixado em lei para custódia dos dados.

Por outro lado, a vitima poderá diligenciar ao Ministério Público ou autoridade administrativa, ou mesmo à polícia, para que se oficie o provedor para guardar por mais tempo os dados, pedido este que imaginamos, deva ser feito dentro do prazo de seis meses da prática do suposto delito. Não há previsão da obrigatoriedade do provedor atender a notificação da própria parte para custódia de registros por prazo superior  ao legal.

Os arts. 18 e 19 aparentam isentar,  de certo modo, os provedores, e por lei, à responderem por conteúdo publicado por terceiros em seus serviços e por eventual indenização por não guardarem os registros previstos em lei.

No entanto, nos termos do art. 20, se o provedor não atender determinação judicial para remoção ou indisponibilização de conteúdo ofensivo, poderá responder por perdas e danos. Igualmente, o art. 22 aparentemente atenua o efeito do artigo 19, fazendo prever a possibilidade de responsabilização em caso de fotos de nudez dentre outras, quando após notificação, o provedor nada faz.  Este aparente conflito entre artigos pode gerar discussões judiciais problemáticas, pois como pode-se perceber, a lei aqui está admitindo a notificação extrajudicial ao provedor, que se não atendida, gera a responsabilização.

Por fim, nos termos do art. 27, temos um imperativo onde o Estado deverá investir em campanhas e projetos de Educação Digital e similares. Como se vê, após inúmeras alterações e alterações, o Marco Civil ainda possui inúmeros pontos controversos e obscuros, fruto do conflito de interesses que norteiam seus debates. De qualquer modo, ao que parece, está caminhando no sentido de ser tornar Lei, a despeito de agradar alguns e desagradar outros.

Saiba mais em:

http://www2.camara.leg.br/camaranoticias/noticias/COMUNICACAO/461928-RELATOR-CONCLUI-LEITURA-EM-PLENARIO-DE-PARECER-SOBRE-O-MARCO-CIVIL-DA-INTERNET.html




A punição da incitação ao terrorismo pela Internet

Em meio a protestos, morte e na iminência de grandes eventos como a Copa do Mundo, o projeto de Lei que criminaliza o ato de terrorismo no  Brasil volta à discussão, é polêmico e pode dar brecha para criminalizar movimentos sociais, segundo especialistas.

O crime de terrorismo terá pena de 15 a 30  anos de prisão, no regime fechado. O PL 499/2013 está em votação neste momento, impulsionado pela morte do cinegrafista da Rede Bandeirantes, que cobria um protesto no Rio de Janeiro.

Dentre os crimes trazidos pela Lei, está o delito de incitação ao terrorismo, a seguir previsto:

Art. 5º Incitar o terrorismo:
Pena – reclusão, de 3 (três) a 8 (oito) anos.
Parágrafo único. A pena aumenta-se de um terço se o crime é praticado por meio da internet.

Como se pode verificar, a pena que já é alta, é agravada se o delito é praticado por meio da Internet. Incitar significa impelir, estimular, instigar. Importa dizer que a incitação ganha relevância penal quando é feita a várias pessoas, a um público, o que é comum no caso daquele que posta algo em sua rede social.

Não seria relevante a incitação feita em um chat entre duas pessoas ou de um amigo para o outro. Lembrando que para ocorrer a incitação é necessário que a mensagem instigue pessoas a praticar crimes específicos, previstos na Lei. A menção genérica torna o fato atípico.

Os crimes previsto no PL 499 são inafiançáveis. Embora a Lei puna a incitação pela Internet, deve-se consignar que a conduta do agente deve ser dolosa. Igualmente, eventuais averiguados poderão provar uso indevido de suas credenciais e contas na internet, por meio de perícia técnica.

Vale consignar que se o crime instigado ocorre o agente instigador responde por participação ou co-autoria no delito realizado

O projeto de Lei, se aprovado, certamente influenciara o setor e inteligência de governos e entidades, no escopo de monitorarem as redes por atuações criminosas. Porém, a apuração da autoria continuará sendo uma dificuldade, sobretudo, diante da pouca cooperação que os provedores de serviços prestam no Brasil.

A distinção entre “Terrorista” e “Manifestante” também será outro critério subjetivo que poderá gerar problemas a cidadãos, quando da aplicação da legislação projetada em estudo.

Acesse a íntegra do Projeto de Lei: Minuta_projeto_Terrorismo




Lei Anticorrupção, auditoria informática e computação forense

No mundo muitas empresas já adequavam seus sistemas e processos às normas de peso internacional, como Foreign Corrupt Practices Act of 1977 (FCPA), Bribery Act of 2010, dentre outras regulamentações. No Brasil, a recém editada Lei 12.846 de 2013 traz a responsabilização das pessoas jurídicas por prática de atos contra a administração pública. Estas empresas podem ser responsabilizadas mesmo que optantes pelo simples por exemplo, pouco importando o tipo societário ou porte.

A responsabilização da pessoa jurídica se dará sem prejuízo da responsabilização individual dos dirigentes. Importante destacar que a lei prevê também como será a responsabilização em caso de sucessão, cisões ou fusões corporativas.

A promessa ou doação de valores ou vantagens a agente publico ou a terceira pessoa a ele relacionada (a propina), como a um filho, por exemplo, caracteriza ato lesivo contra a administração pública. Igualmente, a fraude a licitações, em diversas modalidades, também passa a ser prevista como ato contra a administração. Logicamente que estrutura investigativa deverá ser aprimorada nos órgãos públicos, sobretudo na auditoria de dados de empresas que com eles se relacionam. É indispensável a auditoria informática em qualquer órgão e entidade da Administração, pois grande parte das transações estão em meio informático.

Um ponto que merece atenção é que constitui ato lesivo, pela lei, dificultar a investigação de órgãos, entidades ou agentes públicos. Considera-se administração pública não só os órgãos e entidades estatais de qualquer nível ou esfera de governo, mas também as pessoas jurídicas controladas pelo poder público de país estrangeiro. Perceba-se que uma estrutura de auditoria, segurança e recuperação de informações e registros deverá ser adotada por empresas, de modo a não caracterizar, diante de uma investigação, eventual entrave, o que agrava a situação.

Acesse o artigo completo aqui




Sobre o anúncio da venda de negros no Mercado Livre

Seria reinventar a roda dizer que as pessoas por trás da ofensa podem ser responsabilizadas. De igual modo é chover no molhado dizer que é cabível a responsabilização do site que hospedou a ofensa. Igualmente, dizer que a internet  vem a favorecer práticas racistas…

Sobre a responsabilidade civil do meio que hospeda o crime cometido por terceiros, é engano, por outro lado, dizer que é absolutamente pacífico o dever de indenizar. No momento em que estiver lendo este artigo, haverá pelo menos um provedor de serviços sendo absolvido no Judiciário, alegando que “é o meio” e que não pode “julgar o que é legal ou ilegal”, logo não podendo remover o conteúdo de plano.

Claro, inafastabilidade do judiciário. Até aí tudo bem. Agora, diante de uma página que estampa crianças negras sendo vendidas a um real, não seria normal ao homem mediano (e até ao abaixo da média) compreender que ali se estampava um crime? Por que esperar para remover? E nos crimes de vazamentos de vídeos de menores ou fotos intimas? Minutos a mais no ar representa a difusão do conteúdo para todo o planeta… Dano potencializado e a culpa é de quem? Do usuário que não denunciou?

Neste ponto outra desculpa esfarrapada. Os sites de serviços agora transformaram seus clientes em “fiscais”, e diante de um crime grave em uma de suas páginas, simplesmente alegam “Ora, temos um botão disponível para o usuário denunciar abusos”.

O que? Um botão? Um código html capaz de afastar a responsabilidade do site de avaliar crimes cometidos em suas páginas e transferi-la ao usuário? Não, isso não pode prosperar e é uma dinâmica mais que desproporcional.

Grandes sites e portais investem milhões em atendimento, otimização de conteúdo e coleta de dados para traçar padrões de consumo, mas não movem uma palha para usarem filtros e análise de dados para identificar conteúdo abusivo e ilegal. Em investigação e perícia, um mínimo.  E diante do crime… “Existia um botão para denuncias…”

Ação Civil Pública pode ser proposta além de ações individuais por todas as pessoas que se sentiram lesadas no caso do anúncio preconceituoso. O meio deve ser responsável pela postagem sim, pois não é crível que não disponha de mecanismos tecnológicos e recursos humanos para de plano identificar ações como esta, em tempo de cadastro. Será que realmente estamos na idade da pedra e é preciso deixar alguém publicar um anuncio para só então constatar um abuso?

De qualquer modo, importante mencionar que o Marcado Livre aparentemente forneceu os dados do possível suspeito diretamente à Ouvidoria Nacional de Igualdade Racial, órgão vinculado à Secretaria de Promoção da Igualdade Racional e também ao Ministério Público.  Percebam, não forneceu a um Juiz de Direito e não se recusou a fornecer a uma entidade legitima, como fazem a maioria dos provedores de serviços do Brasil, que só agravam o crime e a lesão aos direitos e garantias individuais das vitimas de crimes na internet.

Qual o dano que o site teve em fornecer os dados? Nenhum, simplesmente amenizou sua responsabilização, não só removendo o conteúdo, mas repassando os dados à autoridades  e entidades para que procedam com as medidas cabíveis, antes de uma possível ordem judicial. Evitou uma ação de responsabilização e eventual condenação em honorários por ter dado causa ao ajuizamento de uma ação de quebra de sigilo. Sim, um  exemplo que nos faz pensar:

Não seria o caso de repensarmos se a remoção de conteúdos em todas as situações dependem mesmo de ordem judicial? Ou em crimes flagrantes como preconceito no ambiente cibernético poderia-se cogitar de uma pronta remoção? Temos tecnologia para auditar tudo em tempo de execução do crime?

Não seria o caso de relativizarmos e imperativa necessidade de ordem judicial para identificação da autoria em crimes de preconceito, franqueando acesso às informações, em casos específicos, às autoridades policiais e Ministério Público? Ou no mínimo, não seria o caso de agilizarmos ordens judiciais em crimes graves desta natureza, que se propagam na velocidade da Internet? Um processo eletrônico para delitos tecnológicos? Existem correntes com fundamentos plausíveis em ambos os sentidos.

O que sabemos é: Precisamos de maior eficiência não só na criação de leis, mas na capacidade de fazer frente e investigar crimes cibernéticos. Na internet, tempo é dano. Provedores, repitam…

Enfim, os responsáveis pela publicação no Mercado Livre, se efetivamente identificados, estarão incursos no artigo 20 da lei n° 7.716/1989, que lembrando, não protege as pessoas apenas do preconceito racial, mas prevê pena de reclusão de dois a cinco anos e multa a quem pratica, induz ou incita a discriminação ou preconceito de raça, cor, etnia, religião ou procedência nacional.

Mas de nada adiantará a Lei posta, se as pessoas lesadas não provocarem o Judiciário e provocarem (pela dor financeira) uma mudança qualitativa no zelo de sites e provedores de serviços para com auditoria em suas redes, páginas e serviços em geral.




A carroça na frente dos bois

Quando dizemos, em termos de investigação de crimes de informáticos, que não devemos colocar a carroça na frente dos bois, tem-se um motivo. A jurisprudência vem fixando entendimento de que um provedor de serviços não pode ser responsabilizado diretamente, se a ele não foi determinada a remoção do conteúdo.

Infelizmente, muitos falsos especialistas que não conhecem sequer o basilar em tecnologia se aventuram no campo do Direito a Informática, influenciados pelo que seria um ramo promissor e acabam por falhar gravemente na representação do cliente.

Recentemente o STJ entendeu que o Google não terá que indenizar ofendido que foi direto à justiça, sem pedir remoção do conteúdo. De fato, em vez de pedir à Google que retirasse o material considerado ofensivo, o consumidor entrou na Justiça pleiteando a exclusão da comunidade do Orkut, além de indenização por danos materiais e morais.

É preciso dar a oportunidade do provedor de conhecer (embora tecnicamente conheça) o conteúdo ofensivo e de remover o conteúdo, sendo que a partir da negativa ou inércia, nasce o possível direito reparatório por danos morais e materiais pelo crime cibernético.

Destaca-se que a decisão foi favorável ao Requerente no Juiz singular e no Tribunal de Justiça, tendo o STJ reformado a decisão. Percebe-se, um processo da era Orkut, certamente proposto há mais de 3 anos, com um resultado destes. Reforçamos o entendimento de que Advocacia na era tecnologia, exige absoluta especialização.

Veja a o acórdão em http://www.stj.jus.br/portal_stj/publicacao/engine.wsp?tmp.area=398&tmp.texto=112564




O risco dos novos termos de serviço do Google

No dia 11 de novembro de 2013 passa a vigorar a chamada “Atualização dos termos de serviço do Google” (Acessível em https://www.google.com.br/intl/pt-BR/policies/terms/update/regional.html). A alteração substancial fica por conta da possibilidade do nome e foto do perfil dos usuários aparecerem nos produtos do Google, comentários, publicidade e contextos comerciais diversos.

Com o novo recurso, seu nome, sua foto, seus comentários e suas preferências podem aparecer a outros usuários ou nos produtos do Google, e você nada pode fazer para remover esta nova Regra, imposta. Segundo o Provedor, suas informações só aparecerão para aquelas pessoas que você optou por compartilhar conteúdo.

Mas como controlar? Sabemos, em um cenário onde poucos sequer sabem configurar o que é visível ou não nas redes sociais, que a configuração padrão de milhões de contas só favorece o Google.  Mais uma vez temos nossos direitos tolhidos, pois posso ter alguém na minha rede de amigos ou no meu Gtalk, Play ou Google+, o que não significa que queira que a pessoa conheça meus comentários ou minhas preferências na Internet. Teremos, como sempre tivemos, que filtrar realmente quem são os amigos virtuais.

A regra também vai valer para a pesquisa do Google, o que é mais grave ainda. Ou seja, alguém que você adicionou na internet (e sambemos, nem todos os amigos da Internet são amigos reais), pode saber exatamente suas preferencias, com base em suas próprias buscas. Para o Google, este recurso é chamado de “recomendações compartilhadas”. A política é confusa se realmente põe a salvo completamente menores de 18 anos desta devassa a privacidade. Ao que parece, as fotos e nome não serão exibidos nas propagandas.

Como se verifica, o Google nos força a sermos “garotos propaganda” dos produtos ou serviços, sem que os anunciantes nos paguem um centavo por isso.  Posso sim gostar de um produto ou serviço, o que não significa dizer que quero avalizá-lo ou fazer propaganda para o mesmo.

Assim, para o usuário que quer minimizar sua exposição com esta nova medida do Google, o caminho é acessar a configuração das recomendações compartilhadas (https://plus.google.com/settings/endorsements?hl=pt-BR)  e proibir a exibição de seu nome e foto nos anúncios do Google. Caso não funcione, o Google deve ser notificado e se acontecerem problemas relativos a privacidade, uma medida judicial proposta em face da filial brasileira.




Alterar o seu IP ou usar Proxy pode ser crime para Lei Carolina Dieckmann?

Imagine que precise acessar um site público, mas que está bloqueado. Então altero meu IP e acesso o referido conteúdo. Estaria violando alguma Lei? Posso ser considerado criminoso?

No último dia 16 de agosto de 2013, uma decisão Norte Americana, inédita, enfrentou a questão e trouxe uma nova e questionável interpretação para o que seria violação de mecanismo de segurança.

Na ação Craigslist v. 3taps, o Magistrado entendeu que alterar o IP ou usar servidores proxy para acessar websites públicos em que o agente foi proibido de visitar, violaria a Computer Fraud and Abuse Act (CFAA), lei americana, que a grosso modo, pode ser equiparada à Lei 12.737/2012 do Brasil (Lei Dieckmann). O caso é parecido com o caso do ativista Aaron Swartz, que suicidou-se.

O Juiz condenou a 3taps por acesso não autorizado, o que corresponde, no Brasil, à “invasão”, simplesmente por que esta alterou seu IP para bypassar o filtro do bloqueio de IPs, implementado pelos administradores do site Craigslist.

Para o magistrado, ocorreu o que lá fora chama-se de “violação de barreira tecnológica”, o que na Lei Dieckmann Brasileira é chamado de “violação de mecanismo de segurança”. A CFAA (18 USC § 1030) pune quem “intentionally accesses a computer without authorization or exceeds authorized access, and thereby obtains information from any protected computer”

A empresa 3taps argumentou que o proprietário de um site público não tem o poder de revogar a autorização de um usuário específico, argumentando que criminalizar tal postura nos termos do CFAA poderia causar danos a usuários comuns de Internet e favorecer companhias na utilização de práticas anti-competitivas. Não deu certo.

Inúmeros professores de leis nos Estados Unidos questionaram a decisão do Magistrado, que equipara a alteração do IP ou uso de Proxy como uma “violação de mecanismo de segurança”. Não é para menos.  As alterações de IP podem ser dinâmicas e alheias a vontade do usuário, e mesmo que este atue dolosamente instalando um proxy, é forçoso admitir que exista a evasão de uma barreira tecnológica, capaz de penalizar um individuo, até porque trata-se de uma medida que pode conter o acesso apenas a curto prazo.

Percebe-se que nos Estados Unidos enfrenta-se uma lacuna legislativa informática, que é definir o que seja uma “barreira tecnológica”, onde muitos já propõem a revisão da Lei CFAA, como a própria EFF (Eletronic Frontier Foundation). Esta lacuna, presente na lei estadunidense, é a mesma que temos aqui, com a nova Lei 12.737/2012, Lei Carolina Dieckmann, qual seja, a definição do que seria “mecanismo de segurança” para fins de criminalização de uma conduta.

Uma zona cinzenta, tanto lá como aqui. Lá, onde a lei vem sendo mau interpretada há anos, noticiamos esta recente interpretação judicial desproporcional e absurda.

E aqui? Como será?

Saiba mais em http://www.volokh.com/wp-content/uploads/2013/08/Order-Denying-Renewed-Motion-to-Dismiss.pdf




Como investigar e apurar judicialmente a autoria de crimes digitais e na internet

A apuração de crimes digitais importa na coleta de dados em provedores de conteúdo/serviços e provedores de acesso. Diante de um crime digital ou cibernético, como ofensa, difamação, calúnia ou outros crimes, praticados pela internet, a vitima é orientada a buscar apoio de um especialista para apurar a autoria do delito, quase sempre cometido por alguém que não se identifica.

E neste contexto, considerando que provedores de serviços, conteúdos e redes sociais, como Facebook, Google, Microsoft, dentre outros, só apresentam dados mediante ordem judicial, via de regra, faz-se necessário processar tais provedores para que eles apontem os dados de “conexão” relativos a alguém que utilizando seus serviços, praticou algum crime cibernético ou causou dano a outrem.

O grande problema é que na maioria das vezes os provedores de serviços fornecem apenas um número de endereço IP (internet protocol) relativo ao suposto usuário criminoso. E convenhamos: Ninguém vai ao Judiciário para descobrir um número IP! Por outro lado, busca apoio da Justiça para identificar a pessoa por trás da ofensa e que age amparada pela falsa sensação de anonimato. Busca-se a autoria do crime!

E é aí que entra o papel do Provedor de Acesso. Como base no número IP fornecido pelo provedor de serviços demandado judicialmente, pode-se ir ao registro.br e descobrir qual o Provedor de Acesso responsável e então, requerer nos autos a expedição de ofício ao mesmo, para que aponte e forneça os dados cadastrais do usuário/seu cliente conectado na Internet, com o IP apurado, na exata data e hora da ofensa publicada ou do crime praticado.

E neste ponto surge outro problema, alguns Magistrados, sem muita intimidade com informática e tecnologia da informação, em casos dessa natureza, acabam por não consentirem com a determinação de ofício aos Provedores de Acesso identificados, sob a argumentação de que não são “partes no processo”, fazendo com o que o consumidor da justiça, além de não ter obtido sua pretensão, tenha de mover uma nova ação, desta vez em face dos Provedores de Acesso Identificados na ação anterior (Movida em face dos provedores de serviços onde o delito fora praticado).

Este é, apenas um exemplo de uma decisão desacertada:

988502_332095700253876_1613409171_n

Um desperdício em desprestígio da economia processual, e um risco, considerando que os dados (registros e logs) dos provedores de acesso a serem demandados podem vir a ser apagados. Neste sentido, é papel do advogado do Direito Digital também educar, conscientizar e apresentar ao julgador os riscos do encerramento prematuro de um processo de apuração de autoria.

Em um dos cursos que ministro sobre Direito Digital Avançado,  onde tenho oportunidade de interagir com alunos que já atuam na área há mais de 10 (dez) anos e com profunda bagagem técnica e jurídica em Direito da Informática, representando grandes corporações e provedores, foi levantada esta questão, relativa a dificuldade de alguns julgadores em compreenderem que a efetiva tutela jurisdicional, nestes casos, só é alcançada com a apuração da autoria e não com o fornecimento de meros dados de conexão.

Neste cenário, é consenso que devemos desenvolver nossas petições instruídas de documentos, gráficos, desenhos que ilustrem o procedimento de apuração da autoria de crimes e ilícitos virtuais, estabelecendo de forma clara as etapas e o papel dos provedores de serviços e de acesso. Ponderou-se no curso e até nas discussões via Facebook, sobre a necessidade da concepção de um gráfico, para que colegas da área pudessem instruir ou anexar em suas ações, cooperando para conscientização em relação aos procedimentos em casos envolvendo apuração de autoria em crimes e golpes na Internet.

Neste sentido, para auxiliar os colegas e advogados do direito da informática e digital, criei um gráfico ilustrativo e legendado, que denominei “Caminho básico para apuração judicial da autoria de um crime digital – 2013”. O gráfico, que está na versão 1 e fica a disposição dos colegas, está disponível em formato JPG e PDF e pode ser baixado aqui. Pelo gráfico, advogados, promotores, acadêmicos, vitimas e membros do judiciário poderão rapidamente compreender de forma básica como um delito digital é praticado, via de regra, e como é possível apurar a autoria, na grande maioria dos casos.

Esperamos a contribuição dos colegas e especialistas para aprimoramento versões posteriores. O Documento é liberado para uso em requerimentos, petições e quaisquer outros pleitos judiciais envolvendo crimes informáticos. Uma contribuição modesta aos colegas que militam arduamente na área e que por vezes se frustram com decisões que asseguram impunidade em delitos de informática, cada vez mais comuns no Brasil.  Compartilhem!

Acesse os gráficos (Versão PDF ) (Versão JPG )

Referências http://josemilagre.com.br/blog/sala-de-estudos/direito-tecnologico/documentos/grafico-para-apuracao-judicial-de-crimes-digitais/