O Especialista em Crimes Cibernéticos e Perito Digital, José Milagre, fala à CNN Brasil sobre o vazamento de dados no MS.

Em um bate papo com a Jornalista Monalisa Perrone, para o “E tem mais”, o Especialista em Crimes Cibernéticos e Perito Digital, José Milagre, fala sobre o vazamento de dados no Ministério da Saúde.

No mesmo ano em que entra em vigor a Lei Geral de Proteção de Dados, o Ministério da Saúde protagonizou dois grandes vazamentos de informações pessoais de pacientes. O primeiro deles revelou os dados de 16 milhões de pessoas que tiveram Covid-19, entre eles o presidente Jair Bolsonaro e o governador do Estado de São Paulo, João Doria. O segundo foi ainda maior, e tornou públicas informações como nome, endereço e até RG de mais de 200 milhões de brasileiros cadastrados no SUS.

Afinal de contas, como instituições públicas e privadas podem ser responsabilizadas pelo vazamento de dados? Elas já respondem à lei de proteção de dados?

Para saber como agir, caso tenha seus dados vazados, acesse:

https://www.cnnbrasil.com.br/tecnologia/2020/12/10/nova-lei-de-protecao-de-dados-e-a-vulnerabilidade-das-informacoes-na-rede?fbclid=IwAR1j8nffcT-1k3L86O35x_z4bMsWQSLUkCx6mNW2_m4Mm1kefMjcPIQ6wJY




Como os “hackers” agiram no ataque ao Superior Tribunal de Justiça do Brasil?

Investigação, lições e como se proteger do ransomware

José Antonio Milagre*

Um dos maiores ataques cibernéticos do país indisponibilizou serviços do Superior Tribunal de Justiça Brasileiro (STJ). Estima-se que o Ministério da Saúde também tenha sido atingido. Após ter dados críticos criptografados, os técnicos da corte encontraram um pedido de resgate.

Ao que identificado, o STJ foi vitimado por uma ameaça conhecidíssima, nada de “alta tecnologia”, mas um ataque de ransomware, “sequestro de dados”, códigos automatizados que ao infectarem máquinas, criptografam arquivos com diversas extensões, ou mesmo cifram o disco todo, exigindo o pagamento em bitcoins.

No caso do STJ, o ataque criptografou os arquivos, renomeando as extensões, aparentemente, para *. Sth888. Como prova de que podem reverter o conteúdo, pedem que a vítima envie qualquer arquivo menor que 900 KB e devolverão descriptografados.

Assim, bases de dados críticas, sistemas, servidores web e softwares são paralisados, causando indisponibilidade de serviços e grandes transtornos. No caso, até audiências foram paralisadas.  Trata-se de uma ameaça onde o que não se falta são medidas “preventivas” para evitar que criminosos tenham sucesso com o golpe digital. (Já tratei inclusive deste tema no meu canal em:  Ransomware: Como evitar, remover, descriptografar e descobrir como foi infectado? 2020 José Milagre https://www.youtube.com/watch?v=EPJwP1rRsq8).

Muitos poderiam pensar que um Tribunal estruturado e com um grande orçamento, jamais seria vítima de uma ameaça tão conhecida, para qual existem recursos preventivos diversos. Porém, a invasão ao STJ e a outros órgãos públicos nos faz refletir sobre alguns pontos:

a) Não importa o quão a empresa invista em infra-estrutura em seu ambiente, na nova forma de trabalho, home office, a vulnerabilidade pode estar no elo mais fraco da corrente, ou seja, as máquinas vulneráveis dos trabalhadores, que acessam a VPN ou rede da empresa;

b) Até mesmo ameaças conhecidas, se não tratadas com medidas técnicas e organizativas, podem impactar grandemente em dados e na disponibilidade de sistemas; Um exemplo de boa prática é a adoção de backups e o estabelecimento de um disaster recovery plan.

c) Uma estrutura de resposta a incidentes jamais será eficaz se não estiver formalmente constituída e preparada com antecedência, com processos claros para compreensão do incidente, se evolve dados pessoais ou se há a necessidade da perícia em informática, para que se possa identificar e apurar o modus operandi e a possível autoria.

Os criminosos podem responder, de acordo com a situação, dentre outros delitos, por invasão de dispositivo informático e também pelo delito de interrupção ou perturbação de serviço informático, ou de informação de utilidade pública, crimes previstos no Código Penal Brasileiro e Lei 12.737/2012 (Carolina Dieckman).

No entanto, no caso do ataque de ransomware, tão dificultoso quanto descriptografar os dados sem a chave de reversão (o que demandaria muito poder de processamento, diante da complexidade dos algoritmos), é a apuração da autoria ou dos responsáveis. A perícia digital e em informática lidará com origem incerta, além da dificuldade de apurar a conta de destino do resgate, considerando que os criminosos recebem em criptomoedas e as transações na Blockchain podem não indicar muito sobre o recebedor.

Importante destacar, igualmente, que de acordo com a Lei Geral de Proteção de Dados, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado, ou ilícito.

Mais que isso, deverão comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, em prazo razoável, indicando a descrição da natureza dos dados pessoais afetados, as informações sobre os titulares envolvidos, a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial, os riscos relacionados ao incidente e as medidas que foram ou que serão adotadas para reverter, ou mitigar os efeitos do prejuízo.

Logo, é dever do órgão apurar se existiu ofensa a dados pessoais e ser transparente a respeito, nos termos da legislação nacional de proteção de dados.

Ferramentas e kits que permitem que qualquer pessoa aplique o ransomware e se torne um criminoso, com alguns cliques, são facilmente encontradas na rede. Pacotes efetivos e “atualizados” são vendidos na deep web, inclusive com disparos de e-mails “pishing” e outras formas mais sofisticadas de infecção, como o carregamento do código a partir do navegador, com o acesso a um site infectado. Em sentido oposto, as técnicas de perícia em informática para rastreio da Blockchain em busca do destino do dinheiro produto de crime engatinham e as transações em criptomoedas para fins ilícitos constituem um grande desafio para peritos de informática e investigadores digitais.

Deste modo, o ransomware, conquanto ameaça conhecida, continua em alta e muito efetiva, lesando de pequenos empresários e grandes cortes, sobretudo diante dos descuidos com proteção de dados e cópias de segurança, e como visto, a prevenção continua sendo a melhor forma de proteção contra este problema.

Prof. MSc. José Antonio Milagre, é perito em informática, advogado especialista em crimes cibernéticos e direito digital, Mestre e Doutorando em Ciência da Informação pela UNESP, Pesquisador do Nucleo de Estudos em Web Semântica e Análise de dados –  NEWSDA-BR da Universidade de São Paulo (USP), Diretor do Instituto de Defesa do Cidadão na Internet – IDCI. Autor pela Editora Saraiva em co-autoria com o Professor Damásio de Jesus, dos livros e “Marco Civil da Internet: Comentários à Lei 12.965/2014” e “Manual de Crimes Informáticos”. É colunista da Rádio Justiça/STF.

consultor@josemilare.com.br




Como hackers tiveram acesso a conversas privadas de Sergio Moro?

O Especialista e Perito Digital, José Milagre, esclareceu ao Uol algumas dúvidas sobre o acesso às conversas do Ex Juíz e falou sobre a criptografia de ponta a ponta que protege o Chat Secreto do Telegram.

Para saber mais acesse: https://www.uol.com.br/tilt/noticias/redacao/2019/06/10/como-hackers-tiveram-acesso-a-conversas-privadas-de-sergio-moro.htm




Aplicativos que simulam mudança de idade e gênero podem ser perigosos

A RedeTV News realizou matéria para falar sobre Deepfake e o submundo de comércio de bases de dados pessoais a partir de aplicativos de Avatares ou Inteligência Artificial e que inclusive alimentam campanhas Eleitorais ilegais!

O Especialista e perito na área de tecnologia, José Milagre, explica como funcionam os aplicativos e os perigos que acarretam, principalmente em ano eleitoral.

Sabe aqueles aplicativos que transformam o rosto dos usuários em personagens, pessoas idosas ou em gêneros opostos? Eles são muito divertidos, mas é preciso ter muito cuidado, especialmente em ano eleitoral. Existe uma infinidade de aplicativos que mostram como você ficaria se fosse mais velho, se fosse do sexo oposto ou que colocam seu rosto em memes ou videoclipes em qualquer lugar do mundo. É tudo aparentemente divertido, só que a brincadeira pode não acabar bem. Isso porque as empresas que desenvolvem esses apps usam a inteligência artificial através de algoritmos pra armazenar dados do usuário. Com a tecnologia desses apps ficou mais fácil criar notícias falsas, o que é um perigo, especialmente em ano eleitoral. Por isso, é importante ter cuidado redobrado, antes de acreditar e compartilhar vídeos ou informações, porque com os apps é possível colocar na boca de um candidato frases que ele nunca disse, ou colocar a imagem dele em um lugar onde nunca esteve. Então, antes de compartilhar, desconfie e verifique.

Saiba mais em: https://www.redetv.uol.com.br/jornalismo/redetvnews/videos/tecnologia/eleicoes-2020-aplicativos-que-criam-videos-falsos-preocupam-especialistas




Matéria da Folha de S. Paulo, com a participação do especialista em Direito Digital, Dr. José Milagre, sobre os pontos positivos e negativos do projeto de Lei das Fakenews (PL 2630/2020).

A Folha de São Paulo selecionou 24 especialistas para que avaliassem o Projeto de Lei das Fakenews em trâmite no Congresso Nacional, em diversos pontos, e apresentassem sua opinião. Após, condensaram todas as análises e fizeram esta importante matéria, que retrata pontos de consenso e riscos, matéria profunda elaborada pela Jornalista Renata Galf.

É um debate que interessa não só a comunidade de especialistas em Sociedade, Direito e Tecnologia, mas a todos!

https://www1.folha.uol.com.br/poder/2020/08/lei-das-fake-news-pode-ser-util-mas-especialistas-pedem-cautela-ao-congresso.shtml