Gbitten

Shadowserver é uma iniciativa de um grupo de voluntários contra a ameaça dos Botnets.

Marcadores: Ameaça, Botnet

postado por Gustavo Araujo Bittencourt  # 6:49 PM

C’mon you little fighter No need to get uptighter C’mon you little fighter And get back up again Oh get back up again Fill your heart again..

Marcadores: Fun

postado por Gustavo Araujo Bittencourt  # 5:28 PM

O Site da Módulo noticiou a iniciativa de revisão da legislação de Direito Autoral. No último dia 11, houve uma audiência pública na 10ª reunião do Conselho de Comunicação Social (CCS). A pauta desta audiência não diz muita coisa e a ata ainda não foi publicada.

Nota: A lei que regula o Direito Autoral no Brasil é a 9.610. Há também a lei 9.609 que trata da propriedade intelectual de programas de computador.

Marcadores: Direito

postado por Gustavo Araujo Bittencourt  # 7:35 AM

• Quando se faz um exame de HIV, o resultado do exame é positivo (se o exame indicar que o indivíduo é portador do HIV) ou negativo (se o exame indicar que o indivíduo é não portador do HIV).
• Quando se realiza uma identificação biométrica, esta identificação pode ser positiva (se a biometria identificou o indivíduo) ou negativa (se a biometria não identificou o indivíduo).

• Quando o resultado do exame de HIV é positivo, este resultado pode ser verdadeiro (se o indivíduo é realmente portador do HIV) ou falso (se, apesar do exame positivo, o indivíduo não é portador do HIV).
• Quando a identificação biométrica é positiva, este resultado pode ser verdadeiro (se o indivíduo é realmente quem a biometria identificou) ou falso (se, apesar da biometria identificar o indivíduo, esta identificação está errada).

• Quando o resultado do exame de HIV é negativo, este resultado pode ser verdadeiro (se o indivíduo não é portador do HIV) ou falso (se, apesar do exame negativo, o indivíduo é portador do HIV).
• Quando a identificação biométrica é negativa, este resultado pode ser verdadeiro (se o indivíduo não faz parte da base de dados biométrica) ou falso (se, apesar do indivíduo estar na base de dados biométrica, a biometria não conseguiu identificá-lo).

Marcadores: Definição

postado por Gustavo Araujo Bittencourt  # 10:12 AM

A Dra. Patricia Peck explana sobre o substitutivo do senador Eduardo Azeredo e comenta sobre a pôlemica do registro obrigatório de usuário. Eu não havia lido o artigo antes, mesmo assim, minha análise converge para alguns pontos levantados por ela, como na indefinição se a cópia indevida de informações é ou não um crime de furto. Particularmente, discordo na referência ao inciso IV artigo 5º da constituição ("é livre a manifestação do pensamento, sendo vedado o anonimato"), mas isso será matéria da próxima parte da análise que faço. De qualquer maneira, é um artigo muito interessante que tem o métiro de considerar vários pontos a serem melhorados no substitutivo.

O artigo de Rodrigo Cunha traz novas informações sobre o substitutivo e as alterações que ele deve sofrer. Algumas delas também convergente aos meus questionamentos, por exemplo, a penalização criminal do provedor de acesso que não possuir o registro dso usuários vai ser revista para uma aplicação de multa.

Marcadores: Direito

postado por Gustavo Araujo Bittencourt  # 1:39 PM

Fernando Cima escreve sobre os desafios enfrentados para mitigar os novos ataques de malwares a nível de hardware, como o blue pill.

• A Próxima Batalha: Malware em Hardware e Hypervisors

Marcadores: Artigo

postado por Gustavo Araujo Bittencourt  # 11:42 PM

Marcadores: Artigo

postado por Gustavo Araujo Bittencourt  # 11:57 AM

• i shot the sheriff - podcast da segurança da informação

Marcadores: Podcast

postado por Gustavo Araujo Bittencourt  # 8:50 PM

Artigos 12º ao 17º

Os artigos 12º ao 17º do substitutivo têm praticamente o mesmo conteúdo que os artigos 2º ao 11º, sendo que aplicados ao Código Penal Militar. Os comentários que coloquei nos artigos que modificam o Código Penal, são pertinentes aos que modificam o Código Penal Militar.

Artigo 18º

Art. 18º O art. 2º da Lei nº 9.296, de 24 de julho de 1996, passa a vigorar acrescido do seguinte § 2º, renumerando-se o parágrafo único para § 1º: “Art. 2º ............................................................................................. ........................................................................................................... § 2º O disposto no inciso III do caput não se aplica quando se tratar de interceptação do fluxo de comunicações em rede de computadores, dispositivo de comunicação ou sistema informatizado.” (NR)

A lei 9.296 regulamenta a inteceptação telefônica de acordo com o que determina a Constituição Federal no artigo 5º inciso XII.

XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal;

Esta alteração permite a interceptação do fluxo de comunicações em rede de computadores, dispositivo de comunicação ou sistema informatizado, para prova em investigação criminal e em instrução processual penal mesmo a pena máxima admitida ao crime em questão seja uma pena de detenção.

Segundo o artigo 33º do Código Penal, a pena de detenção é aquela que pode ser cumprida em regime semi-aberto ou aberto, enquanto a pena de reclusão deve ser cumprida em regime fechado, semi-aberto ou aberto. Como a maioria das penas para crimes de informática propostas neste substitutivo são penas de detenção, este artigo me parece adequado para instrumentar a polícia e a Justiça durante a investigação e o julgamento.

Artigo 19º

Art. 19º O art. 313 do Decreto-Lei nº 3.689, de 3 de outubro de 1941, Código do Processo Penal (CPP), passa a vigorar acrescido do seguinte inciso IV: “Art. 313. .......................................................................................... .......................................................................................... IV – punidos com detenção, se tiverem sido praticados contra rede de computadores, dispositivo de comunicação ou sistema informatizado, ou se tiverem sido praticados mediante uso de rede de computadores, dispositivo de comunicação ou sistema informatizado.(NR)”

Artigo 24º

Art. 24º O art. 1º da Lei nº 10.446, de 8 de maio de 2002 passa a vigorar com a seguinte redação: “Art. 1º ......................................................................................... ....................................................................................................... V – os delitos praticados contra ou mediante rede de computadores, dispositivo de comunicação ou sistema informatizado. (NR)”

Artigo 25º

Art. 25º O art. 9º da Lei nº 8.078, de 11 de setembro de 1990 passa a vigorar com a seguinte redação: “Art. 9º ......................................................................................... ....................................................................................................... Parágrafo único. – o mesmo se aplica à segurança digital do consumidor, mediante a informação da necessidade do uso de senhas ou similar para a proteção do uso do produto ou serviço e para a proteção dos dados trafegados, quando se tratar de dispositivo de comunicação, sistema informatizado ou provimento de acesso a rede de computadores ou provimento de serviçomediante o uso dela.(NR)”

Pelo artigo acima, que altera o Código de Defesa do Consumidor, os fornecedores de produtos e serviços passam a ser responsáveis em informar o consumidor a respeito dos riscos e medidas de segurança digital. O texto do artigo está confuso quando menciona "necessidade do uso de senhas ou similar", uma redação mais adequada seria:

Parágrafo único. – o mesmo se aplica à segurança digital do consumidor, mediante a informação de medidas de proteção no uso do produto ou serviço, quando se tratar de dispositivo de comunicação, sistema informatizado ou provimento de acesso a rede de computadores ou provimento de serviço mediante o uso dela.(NR)”

Artigo 26º

Art. 26º Esta Lei entra em vigor sessenta dias após a data de sua publicação.

O artigo 26º encerra o substitutivo estabelecento um prazo para que a lei entre em vigor.

Na próxima parte da análise, tratarei dos polêmicos artigos 20º ao 23º, que abordam o registro de usuário de internet e de outras rede de dados.

Continua ...

Marcadores: Direito

postado por Gustavo Araujo Bittencourt  # 10:27 PM

... And maybe 5-8 years ago this was a possibility, but I don’t think it’s possible to do a large scale DDoS attack any more.

postado por Gustavo Araujo Bittencourt  # 6:22 PM

Artigo 4º

Art. 4º O § 4º do art. 155 do Decreto-Lei nº 2.848, de 7 de dezembro de 1940 (Código Penal), passa a vigorar acrescido do seguinte inciso V: “Art. 155. .................................................................................... ...................................................................................................... § 4º ............................................................................................... ...................................................................................................... V - mediante uso de rede de computadores, dispositivo de comunicação ou sistema informatizado ou similar. ............................................................................................ ”

O artigo acima classifica como furto qualificado (reclusão de dois a oito anos) o furto cometido "mediante uso de rede de computadores, dispositivo de comunicação ou sistema informatizado ou similar".

Artigo 5º

Art. 5º O Código Penal passa a vigorar acrescido do seguinte art. 183-A: “Art. 183-A. Para os efeitos penais equiparam-se à coisa o dado ou informação em meio eletrônico ou digital ou similar, o bit ou a menor quantidade de informação que pode ser entendida como tal, a base de dados armazenada, dispositivo de comunicação, a rede de computadores, o sistema informatizado, a senha ou similar ou qualquer meio que proporcione acesso aos anteriormente citados.”

O artigo acima acrescenta o artigo 183-A às diposições gerais do Título II do Código Penal. Este Título trata "DOS CRIMES CONTRA O PATRIMÔNIO", tais como furto, roubo, estorção, dano, receptação, etc. Quase todas as tipificações contidas neste título tem como o objeto a "coisa", por exemplo:

• Dano - Art. 163 - Destruir, inutilizar ou deteriorar coisa alheia
• Furto- Art. 155 - Subtrair, para si ou para outrem, coisa alheia móvel

O artigo 183-A define a informação digital como a "coisa" que é objeto de todas estas dipificações criminais. Contudo, a informação tem uma particularidade que outros bens não tem, ela pode ser copiada. Fica então a minhas dúvidas:

• É furto quando ocorre uma cópia não-autorizada de informações?
• Não seria melhor tipificar os crimes onde o objeto é a informação no Título III do Código Penal, visto que este Título trata "DOS CRIMES CONTRA A PROPRIEDADE IMATERIAL"?

Artigo 6º

Art. 6º Os arts. 265 e 266 do Código Penal passam a vigorar com as seguintes redações: “Atentado contra a segurança de serviço de utilidade pública Art. 265. Atentar contra a segurança ou o funcionamento de serviço de água, luz, força, calor, informação ou telecomunicação, ou qualquer outro de utilidade pública: ............................................................................................ (NR)” “Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático, dispositivo de comunicação, rede de computadores ou sistema informatizado Art. 266. Interromper ou perturbar serviço telegráfico, radiotelegráfico, telefônico, telemático, informático, de dispositivo de comunicação, de rede de computadores, de sistema informatizado ou de telecomunicação, impedir ou dificultar-lhe o restabelecimento: ............................................................................................ (NR)”

O novo artigo 265 não trás nada de novo já que a redação vigente já contempla indiretamente os serviços de informação e de telecomunicação de utilidade pública.

O novo artigo 266 estabelece a conduta crimanal para o "Deny-of-Service" (DoS).

Artigo 7º

Art. 7º O Capitulo II do Título VIII do Código Penal passa a vigorar acrescido do seguinte artigo: “Difusão maliciosa de código Art. 266-A. Difundir, por qualquer meio, programa, conjunto de instruções ou sistema informatizado com o propósito de levar a erro ou, por qualquer forma indevida, induzir alguém a fornecer, espontaneamente e por qualquer meio, dados ou informações que facilitem ou permitam o acesso indevido ou sem autorização, à rede de computadores, dispositivo de comunicação ou a sistema informatizado, ou a obtenção de qualquer vantagem ilícita: Pena – reclusão de um a três anos. § 1º A pena é aumentada de sexta parte, se o agente se vale de nome suposto ou da utilização de identidade de terceiros para a prática de difusão maliciosa. § 2º É isento de pena o agente técnico ou o profissional habilitado que, a título de resposta a ataque, de frustração de invasão ou burla, de proteção do sistema, de interceptação defensiva, de tentativa de identificação do agressor, de exercício de forense computacional e de práticas gerais de segurança da informação manipula código malicioso detectado, em proveito próprio ou de seu preponente e sem risco para terceiros.”

Este artigo tem o mesmo objetivo que o artigo 2º do substitutivo, não há em absoluto a necessidade dos dois.

Artigo 8º

Art. 8º O art. 298 do Código Penal passa a vigorar acrescido do seguinte parágrafo único: “Art. 298. .......................................................................................... ........................................................................................................... Falsificação de cartão de crédito ou débito ou qualquer dispositivo eletrônico ou digital ou similar portátil de captura, processamento, armazenamento e transmissão de informações. Parágrafo único. Equipara-se a documento particular o cartão de crédito ou débito ou qualquer outro dispositivo portátil capaz de capturar, processar, armazenar ou transmitir dados, utilizando-se de tecnologias magnéticas, óticas ou qualquer outra tecnologia eletrônica ou digital ou similar.(NR)”

Este artigo equipara a "falsificação de documento particular" a "falsificação de dispositivo portátil capaz de capturar, processar, armazenar ou transmitir dados". Pelo que diz o artigo, "falsificar" uma calculadora é o mesmo que falsificar um documento particular. Não me parece adequado.

O texto do artigo estaria mais claro se tivesse a seguinte redação:

"Falsificação de cartão de crédito ou débito ou qualquer dispositivo, eletrônico ou digital ou similar, de identificação e ou de autenticação. Parágrafo único. Equipara-se a documento particular o cartão de crédito ou débito ou qualquer outro dispositivo portátil capaz identificar e ou autenticar pessoa física ou jurídica.(NR)"

Artigo 9º

Art. 9º O Código Penal passa a vigorar acrescido do seguinte art. 298-A: “Falsificação de telefone celular ou meio de acesso a rede de computadores, dispositivo de comunicação ou sistema informatizado Art. 298-A. Criar ou copiar, indevidamente, ou falsificar código, seqüência alfanumérica, cartão inteligente, transmissor ou receptor de rádio freqüência ou telefonia celular, ou qualquer instrumento que permita o acesso a rede de computadores, dispositivo de comunicação ou sistema informatizado: Pena – reclusão, de um a cinco anos, e multa.”

Por que este artigo está no capítulo sobre "FALSIDADE DOCUMENTAL" e não no capítulo sobre "CRIMES CONTRA A SEGURANÇA DOS MEIOS DE COMUNICAÇÃO E TRANSPORTE E OUTROS SERVIÇOS PÚBLICOS"?

Artigo 10º

Art. 10º O Código Penal passa a vigorar acrescido do seguinte art. 141-A: “Art. 141-A. As penas neste Capítulo aumentam-se de dois terços caso os crimes sejam cometidos por intermédio de rede de computadores, dispositivo de comunicação ou sistema informatizado.”

Artigo 11º

Art. 11º O Código Penal passa a vigorar acrescido do seguinte art. 356-A: “Art. 356-A. Deixar de manter os dados de identificação de usuário e os dados de conexões realizadas por seus equipamentos, de valor probatório, aptos à identificação do usuário quando da ocorrência de crime, pelo prazo de três anos contados a partir da data de conexão, aquele que é o responsável pelo provedor de acesso à rede de computadores.”

O artigo 11º responsabiliza criminalmente o provedor de acesso que não identificar o usuário e armazenar esta informação por 3 anos. Tipificar este comportamento como crimanal me parece muito exagerado, caberia no máximo uma responsabilização civil.

Marcadores: Direito

postado por Gustavo Araujo Bittencourt  # 7:21 PM

O artigo do Dr. Luiz Flávio Gomes, demonstra claramente que não faltam leis no Brasil. Da promulgação da constituição de 88 para cá houveram "783 novas normas jurídicas por dia útil". Esta "hiperinflação legislativa" ocorreu de forma significativa no Direito Penal, criminalizando diversas condutas. Vale então a reflexão sobre o substutivo do PLS 76/2000, deve haver bom senso e coerência ao criar novas tipificações criminais. Para constar, o substitutivo cria seis novas tipificações no Código Penal.

Marcadores: Artigo, Direto

postado por Gustavo Araujo Bittencourt  # 12:06 PM

• Pneumoultramicroscopicossilicovulcanoconiótico

postado por Gustavo Araujo Bittencourt  # 7:42 PM

• Blog da Equipe de Segurança da Informação do TRF 3ª Região

Marcadores: Blog

postado por Gustavo Araujo Bittencourt  # 10:45 AM

• Security In Microsoft Vista? It Could Happen

Marcadores: BombaDeFumaça

postado por Gustavo Araujo Bittencourt  # 9:37 AM