quarta-feira, 29 de junho de 2011

Lei de crimes digitais - 2

Embora eu não concorde com a gritaria geral contra o projeto de crimes digitais, tem um ponto onde eu acho que o projeto poderia ser melhorado: a questão dos códigos maliciosos.

O texto diz o seguinte:
IV – código malicioso: o conjunto de instruções e tabelas de informações ou qualquer
outro sistema desenvolvido para executar ações danosas ou obter dados ou informações de
forma indevida;
Inserção ou difusão de código malicioso
Art. 163-A. Inserir ou difundir código malicioso em dispositivo de
comunicação, rede de computadores, ou sistema informatizado:
Pena – reclusão, de 1 (um) a 3 (três) anos, e multa.
 Nesse ponto, podemos ter a criminalização da atividade de desenvolvimento de softwares de segurança, o que seria prejudicial às atividades dos profissionais de segurança da informação.

Muitas vezes usamos programas capazes de realizar ataques para testar o estado da segurança de alguma rede ou sistema. Esses programas claramente executam "ações danosas", mas os profissionais os utilizam de forma responsável para que os danos, caso existam, seja limitados. Embora a posse e a construção dessas ferramentas não esteja tipificada, esses programas só são úteis se forem distribuídos, o que poderia ser considerado "difusão".

Ou seja, ferramentas de pentest estariam disponíveis apenas aos criminosos, dando um vantagem indesejada com relação aos verdadeiros profissionais de segurança. Esse artigo e a definição de código malicioso merecem um reescrita cuidadosa. Nesse caso, acho que a intenção é o cerne da questão. A difusão para fins de causar dano deve ser criminalizada, mas a difusão como forma de compartilhamento de conhecimento deve ser permitida.

Edit:  uma nova proposta corrige esta distorção: http://edemocracia.camara.gov.br/en/web/seguranca-da-internet/wikiLegis

Lei de crimes digitais

A proposta de lei é polêmica e tem seus pontos falhos, mas me irrita a quantidade de críticas que o projeto recebe de gente que força a barra só pra poder falar mal. A última que eu li foi que "o projeto vai criminalizar a cultura e pesquisa hacker".

Isso porque o projeto define como crime:
Art. 285-A. Acessar rede de computadores, dispositivo de comunicação ou sistema informatizado, sem autorização do legítimo titular, quando exigida:
Pena – reclusão, de 1 (um) a 3 (três) anos, e multa.
Parágrafo único. Se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime, a pena é aumentada de sexta parte.
Se alguém defende a "cultura hacker", deveria ao menos se dar ao trabalho de ler um pouco a respeito. Mesmo a wikipedia admite que, dentro da "ética hacker", a invasão de sistemas não é unanimamente aceita como um comportamento éticamente aceitável. Ou seja, colocar a invasão de sistemas como algo natural na "cultura hacker" é generalizar um pensamento de alguns, em detrimento do demais.

Além disso, chamar as pessoas que invadem sistemas de pesquisadores é um desrespeito com os pesquisadores de verdade. Nenhum pesquisador que seja digno do nome sai por aí invadindo sistemas. E os profissionais de verdade não invadem sistemas de graça, até porque são muito bem pagos para invadirem os sistemas de seus clientes.

Confundir os script kiddies que ficam por aí "testando" sites com profissionais de verdade só demonstra falta de conhecimento ou má fé.

Um paralelo com o mundo físico é possível nesse caso: no jardim em frente à minha casa, tenho um coqueiro. Embora não haja grade ou muro entre a rua e o jardim, há uma pequena cerca viva que deixa claro que o jardim faz parte da minha propriedade. Algumas vezes já aconteceu de eu pegar gente subindo no coqueiro para apanhar cocos. Embora qualquer prejuízo que isso possa me causar seja insignificante, não deixa de ser uma invasão à minha propriedade para pegar algo que me pertence.

Para mim, um invasor de sistemas, mesmo que não altere nada, tem uma atitude parecida com a pessoa que pega os meus cocos: está desrespeitando os direitos do legítimo proprietário do bem, seja ele um coco ou um sistema. Não importa o tamanho do prejuízo ou das defesas instaladas para evitar a invasão: se há uma clara delimitação de onde termina o território público, não há motivo que justifique o desrespeito à propriedade privada.

Continuando o paralelo, se o cara que pegou os cocos tivesse batido na porta e perguntado se podia pegar um coco, eu certamente teria deixado e, mais ainda, teria negociado para que ele pegasse todos os que estivessem bons e lhe daria alguns como "pagamento" pelo trabalho. Por que a atitude correta no mundo virtual seria outra? Eu conheço muitas organizações que gastam bastante dinheiro para testar a segurança de sues sistemas. Um pesquisador de verdade poderia facilmente negociar para fazer esses testes em troca dos conhecimentos adquiridos ou da possibilidade de divulgação dos problemas encontrados (anonimamente, claro).

Enfim, a ética dos grupos com os quais convivo, muitos dos quais poderiam ser claramente definidos como "hackers", é: "nunca entre sem pedir licença". Em outras palavras, testes de segurança só devem ser feitos com a devida autorização e, se alguma vulnerabilidade for descoberta, nunca deve ser usada para acessar sistemas indevidamente. E esse comportamento não será afetado pela lei.

Outra crítica que vejo muito é de que a lei tem definições muito vagas. Isso acontece com outros tipo penais e não vejo tanta reclamação, Por exemplo a definição de dano:
Dano
Art. 163 - Destruir, inutilizar ou deteriorar coisa alheia:
Pena - detenção, de 1 (um) a 6 (seis) meses, ou multa.
Pra mim, essa definição permitiria criminalizar muitas condutas que normalmente não vemos como crime. Ou alguém já foi preso por pisar na grama do vizinho? Ou por derramar vinho na toalha da mesa do restaurante?

A aplicação das leis não se dá ao pé da letra e exige bom senso e a observância de diversos princípios que o Direito desenvolveu ao longo dos anos. Se não levarmos isso em conta, vamos acabar pedindo a revisão de toda a nossa legislação penal. Por outro lado, se as definições de crimes mais corriqueiros pode ser feita sem tanta precisão, por que os "crimes de informática" precisam ser tipificados nos mínimos detalhes?