Posted: novembro 14th, 2008 | Author: coredump | Filed under: Cybermundo | Tags: leis, opinião, segurança
To lendo aqui na Convergência Digital sobre a audiência pública que aconteceu hoje para o PL de crimes eletrônicos. Eu fico dividido porque tinha um monte de amigos meus lá, do MOVIMENTO (software livre claro) e mesmo assim eu sou obrigado a ficar do lado do Projeto e não dos manifestantes contra.
Por exemplo, essa parte aqui da matéria:
“A Lei cria uma série de dispositivos que bloqueiam as redes abertas, criminaliza condutas que são corriqueiras na Internet e remete a regulamentos obscuros.
O que ele chama de rede aberta? Ele quer dizer um hotspot wireless onde você pode chegar, ligar seu notebook/telefone e usar sem precisar se identificar ou uma rede onde as pessoas podem chegar, sentar, usar a máquina sem se identificar? Se for assim, é complicado dizer que acabar com isso é ruim. Veja bem, a presença de hotspots e acesso wireless indiscriminado e não identificado é um prato cheio para prática de atividades ilegais: o meliante pode estar dentro de um carro, com um notebook escondido, sem ser identificado. Claro, se ele realizar um ataque vamos saber o IP, de onde o IP veio, mas como saber quem estava usando aquele IP em determinada hora.
Outra colocação foi com relação a lei ser vaga. O exemplo usado foi:
Na redação dos artigos é incluído, por exemplo, o acesso a dispositivos de comunicação sem autorização. Ele exemplificou o caso de um menino que usasse a senha de acesso do pai para utilizar o telefone celular dele e ligar para a própria mãe. Conforme a redação atual do projeto, essa ação poderia ser considerada um crime, pois o texto é muito amplo e permite essa interpretação
Bom, qual Juiz em sã consciência condenaria isso? O ponto é, as leis existem para dar direção, se cada lei tivesse que descrever exatamente para o que serve, seriam imensas… Por exemplo, o artigo 155 do Código Penal (não está inteiro, muito grande):
Art. 155 – Subtrair, para si ou para outrem, coisa alheia móvel:
Pena – reclusão, de um a quatro anos, e multa.
E aí, então se meu filho pegar meu relógio para ele eu posso acusar ele de furto? Claro que posso. A lei diz isso. Inclusive se for durante o repouso noturno vira Furto Qualificado… É um exagero? É, mas é o mesmo exagero que foi feito no exemplo ali de cima.
Ainda acho essa choradeira por causa de log de provedor uma coisa infundada. Não é como se provedores e telecentros fossem quebrar da noite para o dia por guardar logs. Por exemplo, arquivo de texto (log) de 1G compacta para 100M usando bzip2. Em um DVD então cabem uns 40 dias de log, coloca que se gasta um DVD por mês para guardar log, 3 anos são 30 dvds… E olha que 1G de texto é coisa pra caramba. Chuta que você vai logar hora, origem, destino e GMT, isso daria uma linha de 30-40 caracteres, então 1G de texto guarda uns 25 milhões de acesso. Não é pouca coisa não. Levando em conta que essas contas eu fiz em cima do log do proxy do meu trabalho, que é um lugar com umas 1500 máquinas acessando a internet 24/7.
O César disse no Google Reader que o fato do Opice Blum trabalhar para a Febraban desarmava completamente meu outro post e comprovava que a lei era ruim… Eu sei lá mas isso é papo de sindicalista revoltado né não, tipo, se tem uma grande associação de bancos ou corporações interessadas numa lei, essa lei só pode ser ruim. É óbvio que a Febraban está interessada nesta lei, são os clientes dos bancos que a torto e a direito perdem dinheiro para fraude e eles ficam sem ter um meio de punir ou mesmo achar quem realizou a fraude.
Da mesma forma eu podia dizer que o fato da ABRANET ser contra a lei já é um jabá. Se a lei for aprovada os provedores vão ter de gastar para identificar seus usuários e guardar log. Eles também vão ter de receber denúncias de usuários e fazer alguma coisa (ao invés de se eximir como fazem hoje). Então, para eles é ruim que a lei seja aprovada, imagina, ser processado por não ter guardado log de alguém que realizou uma fraude…
Eu continuo achando que tem muito show man querendo aparecer falando de “liberdade” e esquecendo que vivemos num país que tem uma constituição (que proíbe anonimato), que tem um código penal (que trata de crimes de omissão), que tem um código civil (que fala de tanta coisa que nem dá pra colocar num parêntese). Como eu sempre digo, pessoas acham que a Internet é terra de ninguém e que as leis não podem ser colocadas lá porque vão restringir a “liberdade” de uso, sendo que na verdade a intenção é acabar com os desmandos e a impunidade.
intel
7 Comments »
Posted: novembro 12th, 2008 | Author: coredump | Filed under: Cybermundo | Tags: leis, opinião, segurança
Ahem.
Para efeito deste post eu vou tirar o boné Cypherpunk “EFF R0X” e colocar o meu boné de Analista de Segurança.
Amanhã vai haver uma consulta pública sobre o Projeto de Lei 84 de 1999 que trata da criação de crimes de internet e “toma as devidas providências”. Existe muito barulho na internet falando que o projeto é ruim, que as leis são dracônicas, que o projeto é mal feito.
Bom, eu tive palestras com bons advogados da área como a Dra Patrícia Peck e alguns advogados do escritório Opice Blum Advogados Associados. Tanto a Dra. Peck e o escritório do Dr. Blum são respeitadíssimos na área de direito eletrônico, pioneiros, e também foram consultores no PL 84/99.
Eu vou começar com algumas coisas que o César levantou no twitter:
a obrigação do provedor de comunicar sigilosamente à Justiça caso alguém denuncie que algum usuário cometeu crime
e também:
ah sim, 3 anos para guardar todos os dados de logs. Sarbanes-Oxley mandou avisar que isso é overkill.
Esse é um dos pontos mais levantados. A idéia era muito ruim nas primeiras redações da lei, mas melhorou bastante. O texto exato do Artigo 22 é:
Art. 22. O responsável pelo provimento de acesso a rede de computadores
mundial, comercial ou do setor público é obrigado a:
I – manter em ambiente controlado e de segurança, pelo prazo de 3 (três)
anos, com o objetivo de provimento de investigação pública formalizada, os dados de
endereçamento eletrônico da origem, hora, data e a referência GMT da conexão
efetuada por meio de rede de computadores e fornecê-los exclusivamente à autoridade
investigatória mediante prévia requisição judicial;
II – preservar imediatamente, após requisição judicial, outras informações
requisitadas em curso de investigação, respondendo civil e penalmente pela sua
absoluta confidencialidade e inviolabilidade;
III – informar, de maneira sigilosa, à autoridade competente, denúncia que
tenha recebido e que contenha indícios da prática de crime sujeito a acionamento penal
público incondicionado, cuja perpetração haja ocorrido no âmbito da rede de
computadores sob sua responsabilidade.
Três anos de armazenamento de logs por 3 anos, isso não está tão fora do que é sugerido em outras regras. A própria Sarbanes-Oxley que o César citou tem retenção de 7 anos para dados financeiros que podem incluir logs. Outros exemplos:
- Basiléia II, acordo mundial para bancos, 3 a 7 anos dos registros de atividade;
- A Diretiva 2006/24 do Conselho Europeu indica de 6 meses a 2 anos, dependendo do tipo de log, mesmo assim a Irlanda demanda 3 anos.
Além disso, a redação diz apenas que dados de origem, destino e data/hora/GMT devem ser logados, isso é um log bem pequeno pra se guardar, ainda mais com espaço sendo cada vez mais barato.
Sobre o lance de informar de maneira sigilosa, putz César, você disse de uma forma parecendo que o provedor tinha de abrir um processo contra o dito cujo 
. Veja bem, imagine que você está num bar, chega um meliante e te rouba a carteira, o dono do bar vê mas você não. O dono do bar chama a polícia. Na sua cabeça isso parece errado também? Porque o que a Lei pede é tão somente que quando um usuário denuncie ser vítima de um crime virtual o provedor passe isso a frente. Sobre esse assunto o César continua:
ou seja, eu quero te ferrar, denuncio ao seu provedor que você está cometendo crime, você vai ser processado sem saber.
Bom, isso é um exagero, até porque as coisas não são automáticas. Ninguém no Brasil é preso do dia para a noite, existem garantias na Constituição e tal. FFS, nem quem TEM de ser preso no Brasil continua preso, mas isso não vem ao caso. O que você descreveu acima seria Falsa Denúncia,
Comunicação Falsa de Crime ou de Contravenção
Art. 340 – Provocar a ação de autoridade, comunicando-lhe a ocorrência de crime ou de contravenção que sabe não se ter verificado:
Pena – detenção, de 1 (um) a 6 (seis) meses, ou multa.
E também cabe processo de difamação, danos morais e etc como no Código Civil:
Art 159 – “aquele que por ação ou omissão voluntária, negligência ou imprudência violar direito ou causar prejuízo a outrem, fica obrigado a reparar o dano”.
O meu ponto é, você conhece muita gente que costuma ligar para a polícia para dizer que seu vizinho abusa das crianças? Porque então denunciar para provedores sobre crimes eletrônicos viraria uma coisa comum? Tipo, a partir dessa lei, isso vai ser tipificado como crime.
Outro ponto é sobre alguns artigos serem vagos. Como o 163-A que ganha nova redação:
“Art. 163-A. Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado:
Pena – reclusão, de 1 (um) a 3 (três) anos, e multa.”
Tudo bem, até pode ser que “código malicioso” seja “vago”, mas nem tanto né? Lembre-se que durante o processo legal são chamados peritos e que o ônus da prova é da acusação. Além disso, a Patrícia Peck diz uma coisa interessante que é quem tem de ser justo é o juiz e não a lei. Ou seja, a lei diz código malicioso, cabe aos acusados e acusadores lidarem com qual embasamento técnico eles vão ter de dar para o Juiz. Outra coisa, essas leis tem de durar, não pode se engessar: se existisse uma lista de código malicioso, teriam de mudar a lista toda vez que um novo tipo de código malicioso existisse.
Botton line, o Projeto não é perfeito, mas não é o bicho de sete cabeças que muita gente anda falando. Por exemplo, existem várias pessoas que dizem que o projeto viola a LIBERDADE. Erm… Quando você sai de casa você tem policiais que policiam, você passa por blitzes do DETRAN/PRF, chegando no trabalho existem várias normas que devem ser seguidas… E por mais que isso possa ser considerado ‘violação da liberdade’, é o preço que se paga pela civilidade. A mesma coisa na internet. O projeto acaba com problemas toscos como por exemplo roubo de informações e estelionato via internet (roubo de senha de home banking por exemplo). Atualmente é um inferno para advogados tratarem esses casos, o PL cria e tipifica crimes e dita algumas obrigações. O último artigo inclusive inclui o crime de transmissão de pornografia infantil, existe um artigo tipificando como crime o envio de trojans para roubar dados pessoais, outro tratanto de DOS e ataques similares… Por mais que possam existir pontos que não agradem, o PL é mais positivo do que negativo.
De qual liberdade estamos falando afinal? Do anonimato? Anonimato é proibido pela própria Constituição, porque seria permitida na internet? Ou seja, ainda impera o sentimento de que a Internet é um ambiente diferente do mundo real, mas não é. As leis que valem para sua vida diária também tem de valer na Internet. É necessário que isso aconteça para que crimes eletrônicos comecem a ter um bom tratamento, ao invés de depender muitas vezes de julgamentos baseados em leis existentes que parecem com o crime que aconteceu (e aí sim, gerando subjetividade).
Outra, como toda lei sobre crimes, os únicos preocupados deviam ser os que vão ser condenados por elas
Amanhã tem consulta pública sobre o projeto de lei, se você é contra ou (como eu) a favor, pode ligar no 0800619619 (disque câmara) e pedir a aprovação ou a não aprovação do PL-84/99. Para os brasilienses, a consulta pública vai ser no Plenário 13 da Câmara, as 9:30 da manhã.
Update 1: O César deixou comentário:
Bom, vamos lá… só uma porque meu cérebro entrou em shutdown cedo.
“De qual liberdade estamos falando afinal? Do anonimato? Anonimato é proibido pela própria Constituição, porque seria permitida na internet?”
Mas a não ser que você proteja ativamente seu anonimato (Tor, Chorome e Firefox com pr0n mode etc) não tem como ser anônimo na internet. Você tem meu IP, p.ex, guardado no seu log. Daí basta saber quem aloca aquele IP, pedir judicialmente ao provedor pra dizer quem é e pronto. Não precisa de nada além da lei atual.
O fato é que não tem lei atual para isso César. Quando precisamos de logs dos provedores, eles não dão, tem de se entrar na justiça e convencer o Juiz a autorizar com um mandato. Muitas vezes isso pode demorar absurdos, e sem a lei ou norma para regulamentar a guarda de logs acontece de as vezes o mandato sair depois dos dados terem sido apagados (tem gente que apaga log de proxy com uma semana, um mês…). Eu tenho seu IP e seu horário, claro, mas se for um provedor Wireless, dial-up ou qualquer alocação dinâmica com lease pequeno? Sem log não tem como saber quem estava usando aquele IP em determinado horário. Existe essa visão de que tudo é simples, mas quando passa para o terreno jurídico tudo se complica, se não existe lei, tem de ser tudo explicado e fundamentado com base em leis parecidas mas não-exatamente-para-aquele-fim e depende do julgamento do Juiz e etc… Com uma lei que explicita o due process com relação a logs e obtenção de informações junto a provedores, tudo fica mais rápido e seguro.
Update 2: Recebendo comments e respondendo a todos no geral. O Glaydson disse uma coisa interessante, os crimes dessa lei só possuem punição para quando a pessoa agiu intencionalmente, e não por omissão (como no caso de alguem que pega virus e retransmite sem saber), leia esse post para saber mais sobre culpa e dolo no direito brasileiro e lembre-se que o tratamento muda caso a pessoa teve intenção ou não (alguns crimes nem são crimes na modalidade culposa).
Outra observação: o Guismo diz que empresa privada não faz papel de polícia, mas esquece que empresas privadas tem de avisar sobre crimes ocorridos em suas dependências. Imagine um clube recreativo, um sócio rouba o outro, o roubado reclama com a administração do clube e o que ela faz? Obviamente chama a polícia.
Denúncia Anônima pede averiguação das autoridades, mas não desencadeia processo jurídico por si só, quem disse isso foi o STF. A Constituição deixa bem claro que a liberdade de expressão no pais tem seu preço: você pode emitir sua opinião desde que você se identifique, para que possíveis mentiras e difamações possam ser responsabilizadas.
intel
PS: O César disse algo sobre cópia de CD, mas eu não achei nada disso. Pode ser só lerdeza, claro.
22 Comments »
Posted: março 28th, 2008 | Author: coredump | Filed under: Gaming | Tags: Gaming, opinião, wow
Tava lendo a Ale Picoli no “Eu também jogo” falando sobre o anúncio da Blizzard sobre servidores para a América Latina e isso só somou no meu ódio atual pelo jogo. Fala sério, primeiro a barafunda que é o patch 2.4, e agora servidores caça níquel. Eles realmente pararam de se preocupar com o jogo, o lance agora é ganhar dinheiro.
Eu tenho chamado o patch 2.4 de “WoW for retards”, porquê fala sério, se você não consegue jogar um jogo completamente easy mode como o WoW ficou depois do 2.4 você tem sérios problemas.
Eu já tinha ficado irritado a um tempo com o lance do PvP de WoW ter virado uma feira de items. E nem era uma feira complicada. Dez partidinhas por semana e mesmo perdendo todas você ganha um número X de pontos (Arena Points) para comprar items de Arena que são tão bons como ou melhores que os ítems que eu ralei semanas para conseguir em dungeons.
E daí veio o patch 2.4. Retiraram a necessidade de se fazer o attunement para todas as dungeons de alto nível (attunement é um processo normalmente envolvendo vários passos para se conseguir entrar em alguma nova área), colocaram várias daily quests novas no jogo que beiram o rídiculo (tipo ir para um lugar, clicar em 6 items e voltar) e dão uma quantidade decente de dinheiro, liberaram os items complicados para se fazer items de alto nível (nether vortex e primal nether) que agora são achados na casa de leilões… E continuam bombeando gear no jogo com dificuldade mínima.
Numa escala de 1 a 100 o jogo passoou de dificuldade 70 para tipo 30 ou 40. Você tendo tempo e um grupo de pessoas não muito burras você consegue fazer maravilhas. Some-se isso ao PvP desorganizado e sem sentido e mesmo as ofensas a inteligência mínima das pessoas… não sei se vou ter paciência por muito tempo. A única coisa que me mantém é a vontade de ver o “final” do jogo antes da expansão sair. Expansão esta que nem está em beta teste aparentemente.
Acho que a Blizzard ficou com medo de perder muitos jogadores. Sei lá. Não consigo compreender porque acabar tanto com o desafio no jogo, que agora virou praticamente uma compra sem fim. Basta juntar uma grana (que não é difícil com um limite de 25 dailies por dia) e fazer uns joguinhos de arena e pronto.
Neste meio tempo, Age of Conan fica cada vez menos atrativo (video game demais) e Warhammer foi empurrado do meio do ano para o outono americano (ou seja, agosto ou setembro). Acho que vou voltar para os jogos de playstation.
intel
6 Comments »
Comentários