As emocionantes aventuras de um sysadmin linux na procura pelo uptime perfeito!

Não existe mundo virtual, infelizmente.

Posted: maio 18th, 2009 | Author: coredump | Filed under: Cybermundo | Tags: , ,

Na verdade essa barafunda toda com relação o PL 84/99 e tal tem umas raízes diversas. Esse post aqui é estranhamente sóbrio no mar de alarmismo que os showmans invocaram, ele elenca os problemas e os discute, ao invés de simplesmente disparar um monte de observações absurdas e sem sentido (FUD) para gerar medo. Eu nunca disse que a lei era perfeita (pode conferir, tá no primeiro post sobre o assunto), só que no momento é mais importante ter uma lei do que esperar uma lei perfeita. Nosso código penal tem uma idade absurda, é ultrapassado em vários pontos e tal, mas imagine só se nem ele existisse? Ou se estivesse em discussão a 40 anos?

Na minha opinião aparentemente única no Brasil =) o que acontece é a idéia de que a internet é um ‘país a parte’, um ‘mundo virtual’ a parte do ‘mundo real’. Era uma idéia interessante, eu mesmo traduzi e já citei várias vezes o Cypherpunk Manifesto mas infelizmente as coisas não são assim. Em qualquer tipo de nova tecnologia os usos maléficos estão entre os primeiros a serem descobertos e utilizados. Você pode reparar que sempre que existe uma nova descoberta científica existe um grande frisson para se regulamentar antes que alguém faça caquinha (energia atômica virou bomba, biogenética vira arma quimica e dai por diante).

A internet por outro lado meio que se imiscuiu desse processo, e essa visão que todo mundo gosta de ter de que é um mundo livre, sem leis, etc.. acabou virando a visão mais romântica da coisa. O projeto de lei discutido por exemplo define algumas coisas que seriam ilógicas não fosse essa visão de ‘mundo separado’. Roubo, por exemplo. Pela lei, se você compra um DVD pirata, você está indo contra a lei de propriedade intelectual, e todo mundo parece entender isso mesmo que não concorde, continue fazendo e ache uma justificativa para tal. Já a mesma pessoa que tem essa consciência com relação a comprar um DVD pirata não tem o mesmo pensamento quando baixa um DVD da internet. Mas o que está acontecendo é a mesma coisa, é ir contra a propriedade intelectual da mesma forma, mas aparentemente por estar na Internet, fica tudo bem, afinal de contas é um outro lugar, não é Brasil, nem real é! Se é virtual, é legal, aparentemente.

Mas não é assim. Ou pelo menos não poderia ser. Leis como a que esse PL sugere são necessárias porque não só o código penal existente é falho para lidar com questões tecnológicas como porque na cabeça da maioria das pessoas ainda existe a noção de que a internet é uma terra de impunidade.

O sr do post lá em cima tem várias críticas que fazem sentido, e algumas nem tanto. Eu digo e repito, três anos de log não são nada demais. Além disso ele argumenta que um atacante experiente pode mascarar seus logs, o que eu concordo, mas a internet brasileira não é formada por 100% de atacantes experientes, e sim de uma mistura de experientes e não-tão-experientes-assim. Além disso, se a justificativa de que ‘atacantes experientes não vão ser afetados’ fosse válida, não precisaríamos de nenhuma lei relacionada a crimes, porque afinal de contas um criminoso experiente pode muito bem realizar um crime sem deixar pistas, certo? E os registros telefônicos que já existem, são basicamente a mesma coisa que um log. Telefonia pode, mas internet não, denovo a idéia de que a internet é um lugar diferente.

Certificação digital é uma outra solução que o sr propôe, como solução para fraldes bancárias. Claro, ia tornar mais difícil essas fraudes mas como diz o adágio, não existe patch para estupidez humana. Mesmo com a certificação digital existem várias outras falhas no caminho que podem ser atacadas. Criptografia não é solução para os problemas do mundo (qualquer um que estuda segurança sabe disso), e criptografia mal implementada e nada são a mesma coisa.

Acho que algumas pessoas pegaram o barco nessa lei para lutar por outra coisa. De quando em vez vejo pessoas ai reclamando nos blogs que essa lei é coisa do PIG para controlar o direito autoral. Por mais que eu despreze a Veja e a Globo e acredite na existência do PIG, não acho que vai ser lutar contra esse PL que vai mudar nada na imprensa brasileira, até porque o PL não lida com quase nada que afete blogs/imprensa livre ou não. Ou nas leis de direito autoral, for that matter. Se o problema é que ‘a cópia de arquivos vai acabar com as redes P2P”, acho que essas pessoas deviam estar trabalhando para mudar a legislação de copyright que é velha, quebrada e não contempla os novos paradigmas dos mercados. Mas é mais fácil fazer escândalo e capitalizar em cima do hype, para atrair mais seguidores para sua causa, mesmo que não tenha nada a ver uma coisa com a outra.

E com isso acho que eu termino meu último post sobre o assunto. Acho que já disse o que tinha para dizer.

intel

PS: Para não ser chamado de hipócrita: eu vou ser atingido como qualquer um por esta lei, mais ainda porque minha área profissional tem muito a ver com internet e segurança, eu tenho total consciência disso. Isso não me impede de acha-la uma boa idéia, com falhas, mas melhor que nada.

1 Comment »

Quando usamos as armas do inimigo

Posted: maio 14th, 2009 | Author: coredump | Filed under: Cybermundo | Tags: , ,

Eu tenho ficado longe de assuntos de software livre atualmente, mais por me focar em outras áreas e tal e principalmente para me manter fora de política.

Então foi com alguma tristeza que eu notei que para alguns “luminares” do software livre no Brasil, pimenta nos olhos dos outros é realmente refresco. Digo isso porque com alguma surpresa notei que esses “luminares” resolveram usar as mesmas estratégias que eles condenam a anos na luta contra as grandes empresas do software proprietário. De repente, eu vi as pessoas usando FUD (medo-incerteza-dúvida, em inglês).

Porque eu digo isso? Porque se você observar toda a “campanha” contra o PL do Senador Azeredo, você vai ver que eles usam pedaços de informação, distorcendo o contexto. Além disso exageram em coisas como chamar o projeto de “AI 5 Digital”, o que para qualquer pessoa que realmente leia o que foi o AI-5 chega a insultar a inteligência. Exemplos? Ta ái:

  • “Projeto do Senador Azeredo vai inviabilizar redes abertas”
    Como assim? O que são redes abertas? São redes de colaboração entre pessoas como projetos de software livre (o que eles querem que você pense) ou redes wireless (hot-spots) que funcionam sem necessidade de cadastro/autenticação (o que a lei realmente quer evitar)? Porque nesse caso, é até uma coisa constitucional, por mais que se concorde ou não, anonimato é proibido no Brasil. E de mais a mais, qual seria o problema de se exigir um cadastro para utilização de hot-spots, visto que até para comprar celular pré-pago você precisa apresentar seus documentos. Como eu disse, FUD.
  • “Projeto vai acabar com telecentros”
    Oi? Como? Ainda com a idéia aí de cima sobre redes abertas?
  • “Transferir  arquivos vai ser crime, acabando com as redes P2P”
    Realmente, o projeto tem uma parte sobre cópia de arquivos, mas fala de copiar arquivos “sem a permissão do dono”. O pessoal do FUD diz que isso vai acabar com qualquer cópia de arquivo, enquanto na verdade é uma coisa meio óbvia com relação a copyright. Arquivos cujo copyright proíbem a cópia realmente não deviam ser copiados. Mas e arquivos, por exemplo, licenciados livremente via GPL, LGPL ou Creative Commons? Eles já tem, intrinsicamente, a permissão de cópia. Mas o FUD tem de ser feito.
  • “Pequenos provedores e telecentros vão ser afetados pela guarda de logs”
    Como eu ja disse em um post anterior, o gasto para se manter um tamanho razoável de registros de acesso em redes não é nada exorbitante como o FUD pretende dizer. Claro, vai ter um gasto, mas nada que vá quebrar um provedor ou um telecentro.
  • “Projeto transforma provedor em polícia/xerife”
    Essa dá nos nervos. O que está escrito na lei e que um provedor tem de avisar para as autoridades caso seja informado de um crime. Nada sobre o provedor ter de vigiar o que acontece de todo mundo na sua rede para depois prender e processar alguém. Mas FUD tem de se basear em falácias do tipo. Qualquer pessoa a ser informada de um crime faz por bem comunicá-lo a polícia/autoridades, porque um provedor seria diferente?
  • “Projeto penaliza todo mundo menos os criminosos”
    Do jeito que a galera do FUD explica, parece que o PL foi feito para atingir o usuário normal do dia a dia de internet, enquanto os verdadeiros megahackers nunca vão ser atingidos. O fato é que o PL serve para tipificar crimes, o que não existe na legislação brasileira. Ou seja, mesmo quando um “mega hacker” é preso não existe a modalidade de crime para enquadrá-lo e acabam tendo de fazer uma gambiarra legal facilmente desqualificada por advogados. Lembra que até pouco tempo atrás a posse de pedofilia não era crime? Então, atualmente fazer um vírus ou cavalo de tróia também não. Nem roubar senha de bancos via internet (usar a senha roubada sim, é crime. Roubar e não usar, não).

Eu sei que com isso eu vou contra a corrente libertária do pessoal open-source, free software, etc… e mesmo de diversos amigos que provavelmente vão parar de falar comigo =). Mas do meu ponto de vista de profissional de segurança/entusiasta de software livre é muito triste essa disputa virar um palanque para afirmações exageradas para colocar o medo-incerteza-dúvida (FUD) em pessoas que nem ao menos tentaram ler o texto da lei sendo discutida, acabando por criar uma massa de desinformados gritando contra uma coisa que não conhece. Peraí, não era a Microsoft que fazia isso?

Como diz um amigo que trabalha comigo “Comunidade é legal mas sempre tem showman querendo aparecer”.

Afinal de contas, nada gera mais publicidade do que se colocar como um paladino lutando pela liberdade, por mais que as vezes a luta seja na verdade por libertinagem.

intel

2 Comments »

Ainda o PL 84/99

Posted: novembro 14th, 2008 | Author: coredump | Filed under: Cybermundo | Tags: , ,

To lendo aqui na Convergência Digital sobre a audiência pública que aconteceu hoje para o PL de crimes eletrônicos. Eu fico dividido porque tinha um monte de amigos meus lá, do MOVIMENTO (software livre claro) e mesmo assim eu sou obrigado a ficar do lado do Projeto e não dos manifestantes contra.

Por exemplo, essa parte aqui da matéria:

“A Lei cria uma série de dispositivos que bloqueiam as redes abertas, criminaliza condutas que são corriqueiras na Internet e remete a regulamentos obscuros.

O que ele chama de rede aberta? Ele quer dizer um hotspot wireless onde você pode chegar, ligar seu notebook/telefone e usar sem precisar se identificar ou uma rede onde as pessoas podem chegar, sentar, usar a máquina sem se identificar? Se for assim, é complicado dizer que acabar com isso é ruim. Veja bem, a presença de hotspots e acesso wireless indiscriminado e não identificado é um prato cheio para prática de atividades ilegais: o meliante pode estar dentro de um carro, com um notebook escondido, sem ser identificado. Claro, se ele realizar um ataque vamos saber o IP, de onde o IP veio, mas como saber quem estava usando aquele IP em determinada hora.

Outra colocação foi com relação a lei ser vaga. O exemplo usado foi:

Na redação dos artigos é incluído, por exemplo, o acesso a dispositivos de comunicação sem autorização. Ele exemplificou o caso de um menino que usasse a senha de acesso do pai para utilizar o telefone celular dele e ligar para a própria mãe. Conforme a redação atual do projeto, essa ação poderia ser considerada um crime, pois o texto é muito amplo e permite essa interpretação

Bom, qual Juiz em sã consciência condenaria isso? O ponto é, as leis existem para dar direção, se cada lei tivesse que descrever exatamente para o que serve, seriam imensas… Por exemplo, o artigo 155 do Código Penal (não está inteiro, muito grande):

Art. 155 – Subtrair, para si ou para outrem, coisa alheia móvel:

Pena – reclusão, de um a quatro anos, e multa.

E aí, então se meu filho pegar meu relógio para ele eu posso acusar ele de furto? Claro que posso. A lei diz isso. Inclusive se for durante o repouso noturno vira Furto Qualificado… É um exagero? É, mas é o mesmo exagero que foi feito no exemplo ali de cima.

Ainda acho essa choradeira por causa de log de provedor uma coisa infundada. Não é como se provedores e telecentros fossem quebrar da noite para o dia por guardar logs. Por exemplo, arquivo de texto (log) de 1G compacta para 100M usando bzip2. Em um DVD então cabem uns 40 dias de log, coloca que se gasta um DVD por mês para guardar log, 3 anos são 30 dvds… E olha que 1G de texto é coisa pra caramba. Chuta que você vai logar hora, origem, destino e GMT, isso daria uma linha de 30-40 caracteres, então 1G de texto guarda uns 25 milhões de acesso. Não é pouca coisa não. Levando em conta que essas contas eu fiz em cima do log do proxy do meu trabalho, que é um lugar com umas 1500 máquinas acessando a internet 24/7.

O César disse no Google Reader que o fato do Opice Blum trabalhar para a Febraban desarmava completamente meu outro post e comprovava que a lei era ruim… Eu sei lá mas isso é papo de sindicalista revoltado né não, tipo, se tem uma grande associação de bancos ou corporações interessadas numa lei, essa lei só pode ser ruim. É óbvio que a Febraban está interessada nesta lei, são os clientes dos bancos que a torto e a direito perdem dinheiro para fraude e eles ficam sem ter um meio de punir ou mesmo achar quem realizou a fraude.

Da mesma forma eu podia dizer que o fato da ABRANET ser contra a lei já é um jabá. Se a lei for aprovada os provedores vão ter de gastar para identificar seus usuários e guardar log. Eles também vão ter de receber denúncias de usuários e fazer alguma coisa (ao invés de se eximir como fazem hoje). Então, para eles é ruim que a lei seja aprovada, imagina, ser processado por não ter guardado log de alguém que realizou uma fraude…

Eu continuo achando que tem muito show man querendo aparecer falando de “liberdade” e esquecendo que vivemos num país que tem uma constituição (que proíbe anonimato), que tem um código penal (que trata de crimes de omissão), que tem um código civil (que fala de tanta coisa que nem dá pra colocar num parêntese). Como eu sempre digo, pessoas acham que a Internet é terra de ninguém e que as leis não podem ser colocadas lá porque vão restringir a “liberdade” de uso, sendo que na verdade a intenção é acabar com os desmandos e a impunidade.

intel

7 Comments »

Mal entendidos sobre a Lei de Crimes Eletrônicos PL 84/99

Posted: novembro 12th, 2008 | Author: coredump | Filed under: Cybermundo | Tags: , ,

Ahem.

Para efeito deste post eu vou tirar o boné Cypherpunk “EFF R0X” e colocar o meu boné de Analista de Segurança.

Amanhã vai haver uma consulta pública sobre o Projeto de Lei 84 de 1999 que trata da criação de crimes de internet e “toma as devidas providências”. Existe muito barulho na internet falando que o projeto é ruim, que as leis são dracônicas, que o projeto é mal feito.

Bom, eu tive palestras com bons advogados da área como a Dra Patrícia Peck e alguns advogados do escritório Opice Blum Advogados Associados. Tanto a Dra. Peck  e o escritório do Dr. Blum são respeitadíssimos na área de direito eletrônico, pioneiros, e também foram consultores no PL 84/99.

Eu vou começar com algumas coisas que o César levantou no twitter:

a obrigação do provedor de comunicar sigilosamente à Justiça caso alguém denuncie que algum usuário cometeu crime

e também:

ah sim, 3 anos para guardar todos os dados de logs. Sarbanes-Oxley mandou avisar que isso é overkill.

Esse é um dos pontos mais levantados. A idéia era muito ruim nas primeiras redações da lei, mas melhorou bastante. O texto exato do Artigo 22 é:

Art. 22. O responsável pelo provimento de acesso a rede de computadores
mundial, comercial ou do setor público é obrigado a:
I – manter em ambiente controlado e de segurança, pelo prazo de 3 (três)
anos, com o objetivo de provimento de investigação pública formalizada, os dados de
endereçamento eletrônico da origem, hora, data e a referência GMT da conexão
efetuada por meio de rede de computadores e fornecê-los exclusivamente à autoridade
investigatória mediante prévia requisição judicial;
II – preservar imediatamente, após requisição judicial, outras informações
requisitadas em curso de investigação, respondendo civil e penalmente pela sua
absoluta confidencialidade e inviolabilidade;
III – informar, de maneira sigilosa, à autoridade competente, denúncia que
tenha recebido e que contenha indícios da prática de crime sujeito a acionamento penal
público incondicionado, cuja perpetração haja ocorrido no âmbito da rede de
computadores sob sua responsabilidade.

Três anos de armazenamento de logs por 3 anos, isso não está tão fora do que é sugerido em outras regras. A própria Sarbanes-Oxley que o César citou tem retenção de 7 anos para dados financeiros que podem incluir logs. Outros exemplos:

  • Basiléia II, acordo mundial para bancos, 3 a 7 anos dos registros de atividade;
  • A Diretiva 2006/24 do Conselho Europeu indica de 6 meses a 2 anos, dependendo do tipo de log, mesmo assim a Irlanda demanda 3 anos.

Além disso, a redação diz apenas que dados de origem, destino e data/hora/GMT devem ser logados, isso é um log bem pequeno pra se guardar, ainda mais com espaço sendo cada vez mais barato.

Sobre o lance de informar de maneira sigilosa, putz César, você disse de uma forma parecendo que o provedor tinha de abrir um processo contra o dito cujo :P . Veja bem, imagine que você está num bar, chega um meliante e te rouba a carteira, o dono do bar vê mas você não. O dono do bar chama a polícia. Na sua cabeça isso parece errado também? Porque o que a Lei pede é tão somente que quando um usuário denuncie ser vítima de um crime virtual o provedor passe isso a frente. Sobre esse assunto o César continua:

ou seja, eu quero te ferrar, denuncio ao seu provedor que você está cometendo crime, você vai ser processado sem saber.

Bom, isso é um exagero, até porque as coisas não são automáticas. Ninguém no Brasil é preso do dia para a noite, existem garantias na Constituição e tal. FFS, nem quem TEM de ser preso no Brasil continua preso, mas isso não vem ao caso. O que você descreveu acima seria Falsa Denúncia,

Comunicação Falsa de Crime ou de Contravenção

Art. 340 – Provocar a ação de autoridade, comunicando-lhe a ocorrência de crime ou de contravenção que sabe não se ter verificado:

Pena – detenção, de 1 (um) a 6 (seis) meses, ou multa.

E também cabe processo de difamação, danos morais e etc como no Código Civil:

Art 159 – “aquele que por ação ou omissão voluntária, negligência ou imprudência violar direito ou causar prejuízo a outrem, fica obrigado a reparar o dano”.

O meu ponto é, você conhece muita gente que costuma ligar para a polícia para dizer que seu vizinho abusa das crianças? Porque então denunciar para provedores sobre crimes eletrônicos viraria uma coisa comum? Tipo, a partir dessa lei, isso vai ser tipificado como crime.

Outro ponto é sobre alguns artigos serem vagos. Como o 163-A que ganha nova redação:

“Art. 163-A. Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado:
Pena – reclusão, de 1 (um) a 3 (três) anos, e multa.”

Tudo bem, até pode ser que “código malicioso” seja “vago”, mas nem tanto né? Lembre-se que durante o processo legal são chamados peritos e que o ônus da prova é da acusação. Além disso, a Patrícia Peck diz uma coisa interessante que é quem tem de ser justo é o juiz e não a lei. Ou seja, a lei diz código malicioso, cabe aos acusados e acusadores lidarem com qual embasamento técnico eles vão ter de dar para o Juiz. Outra coisa, essas leis tem de durar, não pode se engessar: se existisse uma lista de código malicioso, teriam de mudar a lista toda vez que um novo tipo de código malicioso existisse.

Botton line, o Projeto não é perfeito, mas não é o bicho de sete cabeças que muita gente anda falando. Por exemplo, existem várias pessoas que dizem que o projeto viola a LIBERDADE. Erm… Quando você sai de casa você tem policiais que policiam, você passa por blitzes do DETRAN/PRF, chegando no trabalho existem várias normas que devem ser seguidas… E por mais que isso possa ser considerado ‘violação da liberdade’, é o preço que se paga pela civilidade. A mesma coisa na internet. O projeto acaba com problemas toscos como por exemplo roubo de informações e estelionato via internet (roubo de senha de home banking por exemplo). Atualmente é um inferno para advogados tratarem esses casos, o PL cria e tipifica crimes e dita algumas obrigações. O último artigo inclusive inclui o crime de transmissão de pornografia infantil, existe um artigo tipificando como crime o envio de trojans para roubar dados pessoais, outro tratanto de DOS e ataques similares… Por mais que possam existir pontos que não agradem, o PL é mais positivo do que negativo.

De qual liberdade estamos falando afinal? Do anonimato? Anonimato é proibido pela própria Constituição, porque seria permitida na internet? Ou seja, ainda impera o sentimento de que a Internet é um ambiente diferente do mundo real, mas não é. As leis que valem para sua vida diária também tem de valer na Internet. É necessário que isso aconteça para que crimes eletrônicos comecem a ter um bom tratamento, ao invés de depender muitas vezes de julgamentos baseados em leis existentes que parecem com o crime que aconteceu (e aí sim, gerando subjetividade).

Outra, como toda lei sobre crimes, os únicos preocupados deviam ser os que vão ser condenados por elas :P

Amanhã tem consulta pública sobre o projeto de lei, se você é contra ou (como eu) a favor, pode ligar no 0800619619 (disque câmara) e pedir a aprovação ou a não aprovação do PL-84/99. Para os brasilienses, a consulta pública vai ser no Plenário 13 da Câmara, as 9:30 da manhã.

Update 1: O César deixou comentário:

Bom, vamos lá… só uma porque meu cérebro entrou em shutdown cedo.

“De qual liberdade estamos falando afinal? Do anonimato? Anonimato é proibido pela própria Constituição, porque seria permitida na internet?”

Mas a não ser que você proteja ativamente seu anonimato (Tor, Chorome e Firefox com pr0n mode etc) não tem como ser anônimo na internet. Você tem meu IP, p.ex, guardado no seu log. Daí basta saber quem aloca aquele IP, pedir judicialmente ao provedor pra dizer quem é e pronto. Não precisa de nada além da lei atual.

O fato é que não tem lei atual para isso César. Quando precisamos de logs dos provedores, eles não dão, tem de se entrar na justiça e convencer o Juiz a autorizar com um mandato. Muitas vezes isso pode demorar absurdos, e sem a lei ou norma para regulamentar a guarda de logs acontece de as vezes o mandato sair depois dos dados terem sido apagados (tem gente que apaga log de proxy com uma semana, um mês…). Eu tenho seu IP e seu horário, claro, mas se for um provedor Wireless, dial-up ou qualquer alocação dinâmica com lease pequeno? Sem log não tem como saber quem estava usando aquele IP em determinado horário. Existe essa visão de que tudo é simples, mas quando passa para o terreno jurídico tudo se complica, se não existe lei, tem de ser tudo explicado e fundamentado com base em leis parecidas mas não-exatamente-para-aquele-fim e depende do julgamento do Juiz e etc… Com uma lei que explicita o due process com relação a logs e obtenção de informações junto a provedores, tudo fica mais rápido e seguro.

Update 2: Recebendo comments e respondendo a todos no geral. O Glaydson disse uma coisa interessante, os crimes dessa lei só possuem punição para quando a pessoa agiu intencionalmente, e não por omissão (como no caso de alguem que pega virus e retransmite sem saber), leia esse post para saber mais sobre culpa e dolo no direito brasileiro e lembre-se que o tratamento muda caso a pessoa teve intenção ou não (alguns crimes nem são crimes na modalidade culposa).

Outra observação: o Guismo diz que empresa privada não faz papel de polícia, mas esquece que empresas privadas tem de avisar sobre crimes ocorridos em suas dependências. Imagine um clube recreativo, um sócio rouba o outro, o roubado reclama com a administração do clube e o que ela faz? Obviamente chama a polícia.

Denúncia Anônima pede averiguação das autoridades, mas não desencadeia processo jurídico por si só, quem disse isso foi o STF. A Constituição deixa bem claro que a liberdade de expressão no pais tem seu preço: você pode emitir sua opinião desde que você se identifique, para que possíveis mentiras e difamações possam ser responsabilizadas.

intel

PS: O César disse algo sobre cópia de CD, mas eu não achei nada disso. Pode ser só lerdeza, claro.

22 Comments »