Gbitten

quinta-feira, dezembro 28, 2006

 

Shadowserver

Shadowserver é uma iniciativa de um grupo de voluntários contra a ameaça dos Botnets.

Marcadores: ,


terça-feira, dezembro 26, 2006

 

Melô do Disaster Recovery

C’mon you little fighter No need to get uptighter C’mon you little fighter And get back up again Oh get back up again Fill your heart again..
It’s Raining Again by Supertramp

Marcadores:


terça-feira, dezembro 19, 2006

 

Direito Autoral

O Site da Módulo noticiou a iniciativa de revisão da legislação de Direito Autoral. No último dia 11, houve uma audiência pública na 10ª reunião do Conselho de Comunicação Social (CCS). A pauta desta audiência não diz muita coisa e a ata ainda não foi publicada.

Nota: A lei que regula o Direito Autoral no Brasil é a 9.610. Há também a lei 9.609 que trata da propriedade intelectual de programas de computador.

Marcadores:


quinta-feira, dezembro 14, 2006

 

Falso positivo e Falso negativo

Eu utilizo algumas analogias para estas definições. Começando pelas definições de positivo ou negativo: Extendendo para falso-positivo: E finalmente para falso-negativo:

Marcadores:


terça-feira, dezembro 12, 2006

 

Artigos sobre o substitutivo

A Dra. Patricia Peck explana sobre o substitutivo do senador Eduardo Azeredo e comenta sobre a pôlemica do registro obrigatório de usuário. Eu não havia lido o artigo antes, mesmo assim, minha análise converge para alguns pontos levantados por ela, como na indefinição se a cópia indevida de informações é ou não um crime de furto. Particularmente, discordo na referência ao inciso IV artigo 5º da constituição ("é livre a manifestação do pensamento, sendo vedado o anonimato"), mas isso será matéria da próxima parte da análise que faço. De qualquer maneira, é um artigo muito interessante que tem o métiro de considerar vários pontos a serem melhorados no substitutivo.

Leis para Internet?
por Patricia Peck

O artigo de Rodrigo Cunha traz novas informações sobre o substitutivo e as alterações que ele deve sofrer. Algumas delas também convergente aos meus questionamentos, por exemplo, a penalização criminal do provedor de acesso que não possuir o registro dso usuários vai ser revista para uma aplicação de multa.

Lei sobre crimes de informática voltará ao debate
por Rodrigo Cunha

Marcadores:


segunda-feira, dezembro 11, 2006

 

Malwares atacando o hardware

Fernando Cima escreve sobre os desafios enfrentados para mitigar os novos ataques de malwares a nível de hardware, como o blue pill.

Marcadores:


 

O melhor controle contra DDoS

Florida man pleads guilty in DDoS attack
Bombard faces prison for launching attack on Akamai's systems

Marcadores:


domingo, dezembro 10, 2006

 

Finalmente um podcast de segurança da informação brazuca

Parabéns ao Luiz Eduardo, ao Nelson Murilo e ao Willian Caprino pela iniciativa.

Marcadores:


quarta-feira, dezembro 06, 2006

 

Análise do substitutivo do PLS 76/2000 (Parte IV)

Artigos 12º ao 17º

Os artigos 12º ao 17º do substitutivo têm praticamente o mesmo conteúdo que os artigos 2º ao 11º, sendo que aplicados ao Código Penal Militar. Os comentários que coloquei nos artigos que modificam o Código Penal, são pertinentes aos que modificam o Código Penal Militar.

Artigo 18º

Art. 18º O art. 2º da Lei nº 9.296, de 24 de julho de 1996, passa a vigorar acrescido do seguinte § 2º, renumerando-se o parágrafo único para § 1º: “Art. 2º ............................................................................................. ........................................................................................................... § 2º O disposto no inciso III do caput não se aplica quando se tratar de interceptação do fluxo de comunicações em rede de computadores, dispositivo de comunicação ou sistema informatizado.” (NR)

A lei 9.296 regulamenta a inteceptação telefônica de acordo com o que determina a Constituição Federal no artigo 5º inciso XII.

XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal;

Esta alteração permite a interceptação do fluxo de comunicações em rede de computadores, dispositivo de comunicação ou sistema informatizado, para prova em investigação criminal e em instrução processual penal mesmo a pena máxima admitida ao crime em questão seja uma pena de detenção.

Segundo o artigo 33º do Código Penal, a pena de detenção é aquela que pode ser cumprida em regime semi-aberto ou aberto, enquanto a pena de reclusão deve ser cumprida em regime fechado, semi-aberto ou aberto. Como a maioria das penas para crimes de informática propostas neste substitutivo são penas de detenção, este artigo me parece adequado para instrumentar a polícia e a Justiça durante a investigação e o julgamento.

Artigo 19º

Art. 19º O art. 313 do Decreto-Lei nº 3.689, de 3 de outubro de 1941, Código do Processo Penal (CPP), passa a vigorar acrescido do seguinte inciso IV: “Art. 313. .......................................................................................... .......................................................................................... IV – punidos com detenção, se tiverem sido praticados contra rede de computadores, dispositivo de comunicação ou sistema informatizado, ou se tiverem sido praticados mediante uso de rede de computadores, dispositivo de comunicação ou sistema informatizado.(NR)”
O artigo acima altera o Código Processual Penal permitindo a prisão preventiva em caso de crime de informática.

Artigo 24º

Art. 24º O art. 1º da Lei nº 10.446, de 8 de maio de 2002 passa a vigorar com a seguinte redação: “Art. 1º ......................................................................................... ....................................................................................................... V – os delitos praticados contra ou mediante rede de computadores, dispositivo de comunicação ou sistema informatizado. (NR)”
O artigo 24º altera a lei 10.446, permitindo a atuação da Polícia Federal em crimes de informática "quando houver repercussão interestadual ou internacional que exija repressão uniforme".

Artigo 25º

Art. 25º O art. 9º da Lei nº 8.078, de 11 de setembro de 1990 passa a vigorar com a seguinte redação: “Art. 9º ......................................................................................... ....................................................................................................... Parágrafo único. – o mesmo se aplica à segurança digital do consumidor, mediante a informação da necessidade do uso de senhas ou similar para a proteção do uso do produto ou serviço e para a proteção dos dados trafegados, quando se tratar de dispositivo de comunicação, sistema informatizado ou provimento de acesso a rede de computadores ou provimento de serviçomediante o uso dela.(NR)”

Pelo artigo acima, que altera o Código de Defesa do Consumidor, os fornecedores de produtos e serviços passam a ser responsáveis em informar o consumidor a respeito dos riscos e medidas de segurança digital. O texto do artigo está confuso quando menciona "necessidade do uso de senhas ou similar", uma redação mais adequada seria:

Parágrafo único. – o mesmo se aplica à segurança digital do consumidor, mediante a informação de medidas de proteção no uso do produto ou serviço, quando se tratar de dispositivo de comunicação, sistema informatizado ou provimento de acesso a rede de computadores ou provimento de serviço mediante o uso dela.(NR)”

Artigo 26º

Art. 26º Esta Lei entra em vigor sessenta dias após a data de sua publicação.

O artigo 26º encerra o substitutivo estabelecento um prazo para que a lei entre em vigor.

Na próxima parte da análise, tratarei dos polêmicos artigos 20º ao 23º, que abordam o registro de usuário de internet e de outras rede de dados.

Continua ...

Marcadores:


 

Os relatos sobre a morte do DDoS são um tanto quanto exagerados

C.J. Kelly, um Information Security Officer que omite sua real identidade para proteger seu empregador (???), declarou no site Computerworld:
... And maybe 5-8 years ago this was a possibility, but I don’t think it’s possible to do a large scale DDoS attack any more.
Contudo, Michael Farnum contra-argumenta as afirmações C.J. Kelly mostrando que a ameaça do DDoS está mais viva do que nunca.

terça-feira, dezembro 05, 2006

 

Análise do substitutivo do PLS 76/2000 (Parte III)

A parte II desta análise tratou dos artigos 1º ao 3º que alteram o Código Penal. Agora, tratamos os artigos 4º ao 11º que também alteram o Código Penal.

Artigo 4º

Art. 4º O § 4º do art. 155 do Decreto-Lei nº 2.848, de 7 de dezembro de 1940 (Código Penal), passa a vigorar acrescido do seguinte inciso V: “Art. 155. .................................................................................... ...................................................................................................... § 4º ............................................................................................... ...................................................................................................... V - mediante uso de rede de computadores, dispositivo de comunicação ou sistema informatizado ou similar. ............................................................................................ ”

O artigo acima classifica como furto qualificado (reclusão de dois a oito anos) o furto cometido "mediante uso de rede de computadores, dispositivo de comunicação ou sistema informatizado ou similar".

Artigo 5º

Art. 5º O Código Penal passa a vigorar acrescido do seguinte art. 183-A: “Art. 183-A. Para os efeitos penais equiparam-se à coisa o dado ou informação em meio eletrônico ou digital ou similar, o bit ou a menor quantidade de informação que pode ser entendida como tal, a base de dados armazenada, dispositivo de comunicação, a rede de computadores, o sistema informatizado, a senha ou similar ou qualquer meio que proporcione acesso aos anteriormente citados.”

O artigo acima acrescenta o artigo 183-A às diposições gerais do Título II do Código Penal. Este Título trata "DOS CRIMES CONTRA O PATRIMÔNIO", tais como furto, roubo, estorção, dano, receptação, etc. Quase todas as tipificações contidas neste título tem como o objeto a "coisa", por exemplo:

O artigo 183-A define a informação digital como a "coisa" que é objeto de todas estas dipificações criminais. Contudo, a informação tem uma particularidade que outros bens não tem, ela pode ser copiada. Fica então a minhas dúvidas:

Artigo 6º

Art. 6º Os arts. 265 e 266 do Código Penal passam a vigorar com as seguintes redações: “Atentado contra a segurança de serviço de utilidade pública Art. 265. Atentar contra a segurança ou o funcionamento de serviço de água, luz, força, calor, informação ou telecomunicação, ou qualquer outro de utilidade pública: ............................................................................................ (NR)” “Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático, dispositivo de comunicação, rede de computadores ou sistema informatizado Art. 266. Interromper ou perturbar serviço telegráfico, radiotelegráfico, telefônico, telemático, informático, de dispositivo de comunicação, de rede de computadores, de sistema informatizado ou de telecomunicação, impedir ou dificultar-lhe o restabelecimento: ............................................................................................ (NR)”

O novo artigo 265 não trás nada de novo já que a redação vigente já contempla indiretamente os serviços de informação e de telecomunicação de utilidade pública.

O novo artigo 266 estabelece a conduta crimanal para o "Deny-of-Service" (DoS).

Artigo 7º

Art. 7º O Capitulo II do Título VIII do Código Penal passa a vigorar acrescido do seguinte artigo: “Difusão maliciosa de código Art. 266-A. Difundir, por qualquer meio, programa, conjunto de instruções ou sistema informatizado com o propósito de levar a erro ou, por qualquer forma indevida, induzir alguém a fornecer, espontaneamente e por qualquer meio, dados ou informações que facilitem ou permitam o acesso indevido ou sem autorização, à rede de computadores, dispositivo de comunicação ou a sistema informatizado, ou a obtenção de qualquer vantagem ilícita: Pena – reclusão de um a três anos. § 1º A pena é aumentada de sexta parte, se o agente se vale de nome suposto ou da utilização de identidade de terceiros para a prática de difusão maliciosa. § 2º É isento de pena o agente técnico ou o profissional habilitado que, a título de resposta a ataque, de frustração de invasão ou burla, de proteção do sistema, de interceptação defensiva, de tentativa de identificação do agressor, de exercício de forense computacional e de práticas gerais de segurança da informação manipula código malicioso detectado, em proveito próprio ou de seu preponente e sem risco para terceiros.”

Este artigo tem o mesmo objetivo que o artigo 2º do substitutivo, não há em absoluto a necessidade dos dois.

Artigo 8º

Art. 8º O art. 298 do Código Penal passa a vigorar acrescido do seguinte parágrafo único: “Art. 298. .......................................................................................... ........................................................................................................... Falsificação de cartão de crédito ou débito ou qualquer dispositivo eletrônico ou digital ou similar portátil de captura, processamento, armazenamento e transmissão de informações. Parágrafo único. Equipara-se a documento particular o cartão de crédito ou débito ou qualquer outro dispositivo portátil capaz de capturar, processar, armazenar ou transmitir dados, utilizando-se de tecnologias magnéticas, óticas ou qualquer outra tecnologia eletrônica ou digital ou similar.(NR)”

Este artigo equipara a "falsificação de documento particular" a "falsificação de dispositivo portátil capaz de capturar, processar, armazenar ou transmitir dados". Pelo que diz o artigo, "falsificar" uma calculadora é o mesmo que falsificar um documento particular. Não me parece adequado.

O texto do artigo estaria mais claro se tivesse a seguinte redação:

"Falsificação de cartão de crédito ou débito ou qualquer dispositivo, eletrônico ou digital ou similar, de identificação e ou de autenticação. Parágrafo único. Equipara-se a documento particular o cartão de crédito ou débito ou qualquer outro dispositivo portátil capaz identificar e ou autenticar pessoa física ou jurídica.(NR)"

Artigo 9º

Art. 9º O Código Penal passa a vigorar acrescido do seguinte art. 298-A: “Falsificação de telefone celular ou meio de acesso a rede de computadores, dispositivo de comunicação ou sistema informatizado Art. 298-A. Criar ou copiar, indevidamente, ou falsificar código, seqüência alfanumérica, cartão inteligente, transmissor ou receptor de rádio freqüência ou telefonia celular, ou qualquer instrumento que permita o acesso a rede de computadores, dispositivo de comunicação ou sistema informatizado: Pena – reclusão, de um a cinco anos, e multa.”

Por que este artigo está no capítulo sobre "FALSIDADE DOCUMENTAL" e não no capítulo sobre "CRIMES CONTRA A SEGURANÇA DOS MEIOS DE COMUNICAÇÃO E TRANSPORTE E OUTROS SERVIÇOS PÚBLICOS"?

Artigo 10º

Art. 10º O Código Penal passa a vigorar acrescido do seguinte art. 141-A: “Art. 141-A. As penas neste Capítulo aumentam-se de dois terços caso os crimes sejam cometidos por intermédio de rede de computadores, dispositivo de comunicação ou sistema informatizado.”
O artigo acima acrescenta dois terço aos crimes contra a honra (injuria, difamação, calúnia, etc.) que sejam cometidos por intermédio de rede de computadores, dispositivo de comunicação ou sistema informatizado.

Artigo 11º

Art. 11º O Código Penal passa a vigorar acrescido do seguinte art. 356-A: “Art. 356-A. Deixar de manter os dados de identificação de usuário e os dados de conexões realizadas por seus equipamentos, de valor probatório, aptos à identificação do usuário quando da ocorrência de crime, pelo prazo de três anos contados a partir da data de conexão, aquele que é o responsável pelo provedor de acesso à rede de computadores.”

O artigo 11º responsabiliza criminalmente o provedor de acesso que não identificar o usuário e armazenar esta informação por 3 anos. Tipificar este comportamento como crimanal me parece muito exagerado, caberia no máximo uma responsabilização civil.

Marcadores:


segunda-feira, dezembro 04, 2006

 

Hiperinflação legislativa

O artigo do Dr. Luiz Flávio Gomes, demonstra claramente que não faltam leis no Brasil. Da promulgação da constituição de 88 para cá houveram "783 novas normas jurídicas por dia útil". Esta "hiperinflação legislativa" ocorreu de forma significativa no Direito Penal, criminalizando diversas condutas. Vale então a reflexão sobre o substutivo do PLS 76/2000, deve haver bom senso e coerência ao criar novas tipificações criminais. Para constar, o substitutivo cria seis novas tipificações no Código Penal.

Hiperinflação legislativa:
um mal crônico no Brasil

Marcadores: ,


sábado, dezembro 02, 2006

 

Pneumoultramicroscopicossilicovulcanoconiótico

Inconstitucionalicimamente que nada, a maior palavra do português é:

sexta-feira, dezembro 01, 2006

 

Novo blog

Marlon Borba, junto com a equipe de segurança da informação do TRF 3ª Região, estreu na Bloguesfera.

Marcadores:


 

Segurança no Vista? Isto pode acontecer

Eu gosto dos artigos e do blog do Richard Bejtlich. Ele, junto com Ranum, saem da mesmice e do "InfoSecmente Correto" que atinge a maioria dos articulistas de nossa área. Desta vez, ele escreveu um artigo bem ponderado sobre a segurança no Windows Vista.

Marcadores:


Arquivos

Janeiro 2000   Fevereiro 2000   Março 2000   Julho 2005   Agosto 2005   Setembro 2005   Outubro 2005   Novembro 2005   Dezembro 2005   Janeiro 2006   Março 2006   Abril 2006   Maio 2006   Junho 2006   Julho 2006   Agosto 2006   Setembro 2006   Outubro 2006   Novembro 2006   Dezembro 2006   Janeiro 2007   Fevereiro 2007   Abril 2007   Maio 2007   Junho 2007   Julho 2007   Agosto 2007   Setembro 2007   Outubro 2007   Novembro 2007   Janeiro 2008   Fevereiro 2008   Março 2008   Junho 2008   Setembro 2008   Novembro 2008   Dezembro 2008   Junho 2009   Julho 2009   Agosto 2009   Setembro 2009   Outubro 2009   Dezembro 2009   Fevereiro 2010  

This page is powered by Blogger. Isn't yours?

Assinar Postagens [Atom]