Técnicas forenses para identificação da invasão e do invasor em sistemas Unix/Linux através do SSH (parte 1)

Neste artigo serão abordadas as técnicas e métodos usados na perícia forense no intento de levantar evidências que permitam identificar que o sistema foi invadido e de onde partiu o ataque em ambiente Unix/Linux.

[ Hits: 32.003 ]

Por: Matuzalém Guimarães em 20/12/2008


Ciência, perícia forense e as implicações legais



Computação forense, segundo Heiser; Kruse (2001) é a ciência da aquisição, recuperação, preservação, e apresentação dos dados que foram manipulados eletronicamente e armazenados em mídias computacionais. Ainda segundo o autor, a computação forense, ao invés de produzir conclusões que exigem interpretação do perito, a computação forense produz de forma direta as informações e dados que servirão como provas diretas em processos judiciais contra criminosos cibernéticos.

De acordo com Costa (2003), com a perícia forense computacional é possível reconstruir os fatos que aconteceram no passado em um sistema e seu uso pode estar relacionado com a coleta de evidências para ações disciplinares internas em uma empresa ou para processos conduzidos pela justiça.

Implicações legais

No modelo proposto por Geus (2001 apud Pollitt, 1995), existe uma hierarquia a ser respeitada com duas classes: a das Implicações Legais e a dos Padrões Técnicos. Para cada uma destas classes há também uma hierarquia a ser seguida. A classe dos Padrões Legais é composta inicialmente pelos Princípios Legais e posteriormente pelas Exigências Legais. Na Classe dos Padrões Técnicos primeiramente são considerados os Princípios Técnicos sucedidos pelas Políticas de Análise e posteriormente as Técnicas e Soluções.

Segundo Costa (2006), para o bom exercício das investigações a figura do perito deve seguir cautelosa e cuidadosamente as normas estabelecidas no Código de Processo Penal Brasileiro, duas destas normas podem ser referenciadas como exemplificação numa abordagem computacional, já que no Brasil não existem leis específicas para crimes digitais que estejam em vigor, são os artigos 170 e 171 do Código de Processo Penal brasileiro.

Cagnani; Santos (2008) confirmam que os artigos 170 e 171 do Código de Processo Penal brasileiro são os mais importantes para a perícia, pois trazem as diretrizes gerais da preservação dos dados e do objetivo do laudo pericial.

O artigo 170 assim descreve as ações periciais em laboratório:

Artigo 170: Nas perícias de laboratório, os peritos guardarão material suficiente para a eventualidade de nova perícia. Sempre que conveniente, os laudos serão ilustrados com provas fotográficas, ou microfotográficas, desenhos ou esquemas. Nucci, Código de Processo Penal Comentado, 2008, 386p.

E assim é descrita a forma de lidar com as evidências coletadas;

O perito deverá preservar todos os dispositivos, executar uma cópia integral do(s) disco(s) rígido a serem analisados, executar um hash para comprovação da integridade dos dados, preservar os logs de todo(s) o(s) equipamento(s) envolvidos na investigação é fundamental. De preferência, sem desligar os mesmos e não utilizá-los, visto que o simples ato de ligar e desligar um computador gera gravação, subscrição e/ou modificação de dados, causando eventualmente a perda de dados importantes ou mesmo vitais para uma perfeita, rápida e fácil investigação. Rocha (2003, p.03) apud THEIL.

O artigo 171 descreve o procedimento para reconstruir os eventos;

Artigo 171: Nos crimes cometidos com destruição ou rompimento de obstáculo a subtração da coisa, ou por meio de escalada, os peritos, além de descrever os vestígios, indicarão com que instrumentos, por que meios e em que época presume ter sido o fato praticado. Nucci, Código de Processo Penal Comentado, 2008, 386p.

Segundo Cagnani; Santos (2008) adaptando a este artigo se pode documentar quais as ferramentas de software foram utilizadas para a realização da análise, bem como a possível identificação de uma linha de tempo usando uma análise dos MAC times. Desta forma podem-se realizar equiparações na Lei para que possa ser resguardado o devido valor judicial a uma evidência digital.

    Próxima página

Páginas do artigo
   1. Ciência, perícia forense e as implicações legais
   2. Privacidade e aspectos legais
   3. Identificação das evidências
Outros artigos deste autor

NFS rápido e direto usando Slackware 12

Segurança da Informação na Internet

Estatísticas para todos

Técnicas forenses para identificação da invasão e do invasor em sistemas Unix/Linux através do SSH (parte 2)

SSH: Métodos e ferramentas para invasão

Leitura recomendada

Certificações em Segurança: para qual estudar?

Melhorando o nível de segurança com chflags

Netcat - O canivete suíco do TCP/IP

Servidor de log no Debian com Syslog-ng

Sudoers 1.8.12 - Parte II - Manual

  
Comentários
[1] Comentário enviado por y2h4ck em 20/12/2008 - 22:29h

Citou um monte de autores e não mostrou nada tecnicamente falando.

[2] Comentário enviado por matux em 20/12/2008 - 23:47h

Essa é a parte 1.
Apenas conceitos introdutórios e os procedimentos de como fazer (teoria).
Aguarde as próximas partes.
Obrigado pela atenção.

[3] Comentário enviado por gregh em 21/12/2008 - 01:10h

Simplesmente sensacional.
Outro dia estava lendo na internet sobre Pericia Forense Computacional, e um tema super interessante.
Parabens pela iniciativa.

[4] Comentário enviado por marcovinycios em 22/12/2008 - 00:02h

Muito interessante!!!
Gostei do tema e confesso que passarei a estudar mais sobre o assunto.

[5] Comentário enviado por Teixeira em 22/12/2008 - 20:44h

A falta de uma legislação específica pode conduzir o ato pericial
a ser equiparado a uma invasão de privacidade de forma qualificada.
Pelos princípios apresentados, nota-se que, à parte de possíveis
crimes informáticos presumidamente praticados pelo usuario cujo
equipamento esteja sendo periciado, pode o perito deparar-se com
uma coleção de videos de comunidades gays, por exemplo, quando
o usuário teria por direito pleno ter sua opção preservada.
A mera exposição da existência de tais vídeos, citados apenas como exemplo, constituiria lesão clara aos direitos do usuário.
Nessa questão, o crime maior poderia ser a própria perícia, e não o
ato criminoso sob presunção.
O perito tem sua conduta ética própria de sua atividade profissional,
mas os atos periciais tornam-se públicos independentemente de sua
vontade, sendo anexados "in totum" aos processos.
(E não poderia ser diferente, pois aí então haveria ocultação de provas).
Diferentemente do ramo de engenharia legal, por exemplo, nos crimes
de informática o ato pericial torna-se portanto algo extremamente delicado.
Verdadeira faca de dois gumes.
Ficamos pois no aguardo da continuação desse artigo, onde certamente seremos contemplados com as TÉCNICAS utilizadas em perícia, conforme reclamado pelos colegas.

[6] Comentário enviado por josemar@morvan em 26/12/2008 - 13:45h

Legal o artigo, no semestre passado na faculdade trabalhamos sobre crimes eletrônicos, e apesar de ser uma matéria sem legislação especifica aprovada ,hoje 95% dos crimes cometidos através da internet podem ser caracterizados dentro do CP,para os 5% que ainda não podem ser tipificados , está em votação no congresso segue:O PLC nº 89, de 2003, pretende inserir a Seção V no Capítulo VI do Título I do Código Penal, onde seriam definidos os crimes contra a inviolabilidade dos sistemas informatizados. São nove as condutas delituosas por meio de acesso a sistema eletrônico de que trata o PLC:
- o acesso indevido a meio eletrônico;
- a manipulação indevida de informação eletrônica;
- o dano eletrônico;
- a pornografia infantil;
- o atentado contra a segurança de serviço de utilidade pública;
- a interrupção ou perturbação de serviço telegráfico e telefônico;
- a falsificação de cartão de crédito;
- a falsificação de telefone celular;
- a divulgação de informações pessoais ou de empresas.
Vejamos cada um desses tipos.
a) Arts. 154-A, 154-B e 154-C do CP, ou seja, o acesso indevido, a manipulação indevida de informação e a definição de meio eletrônico e sistema informatizado.
A redação pode ser aperfeiçoada para registrar que o meio eletrônico ou sistema informatizado é protegido contra as hipóteses em que o agente consegue o acesso mediante a violação desse sistema de proteção. Já a pena, que seria aplicada ao hacker, nome dado ao usuário que tenta violar ou viola o sistema de proteção, deveria ser mais severa.
Ademais, embora os três artigos possam ser reunidos em um só, preferimos manter a redação dada pelo PLC nº 89 de 2003, que define com maior clareza os delitos que se pretende tipificar. Entretanto propomos a alteração da pena original de detenção de 3 (três) meses a 1 (um) ano, e multa para detenção, de 1 (um) a 4 (quatro) anos, e multa, mantendo os mesmos parágrafos.
Ainda, quando este PLC nº 89 de 2003 estava sendo relatado nesta Comissão, o atento Senador Hélio Costa fez algumas sugestões de emendas que os membros da Comissão entenderam necessárias, mas que deveriam fazer parte de um novo Projeto de Lei a fim de que aquele projeto em discussão, uma vez aprovado, pudesse ir à sanção presidencial. Estando ele apensado ao PLS nº 76 de 2000 entendemos que é hora de acatar aqui algumas sugestões.
A primeira sugestão aqui acatada trata da definição e tipificação da Fraude Eletrônica, conhecida pelos profissionais de Tecnologia de Informação e Comunicação (TIC) como phishing ou port fishing, incluindo-a no Código Penal como segue:
“Fraude Eletrônica
Art. 154 - D. Difundir, por qualquer meio, sistema informatizado com o propósito de induzir alguém a fornecer, espontaneamente e por qualquer meio, dados ou informações que facilitem ou permitam o acesso indevido ou sem autorização, a dispositivo de comunicação ou a sistema informatizado:
Pena – reclusão de dois a quatro anos e multa.
Parágrafo único. Somente se procede mediante representação, salvo se o crime é cometido contra a União, Estado, Município, empresa concessionária de serviços públicos, agências, fundações, autarquias, empresas públicas ou sociedade de economia mista e suas subsidiárias, ou se o sistema informatizado fraudador tiver potencial de propagação ou alastramento.”
Aqui acolhemos contribuição valiosa, de advogado especialista e com vasta experiência na defesa contra os crimes de informática, de que deveríamos evitar o nome “fraude”, em seu título, para não haver confusão com a “fraude material” ou com o “furto mediante fraude”. Nossa proposta é que o crime seja nominado “difusão maliciosa de código” ou “disseminação de armadilha eletrônica”.
Se mantivéssemos a nomenclatura “fraude eletrônica”, olvidando a confusão de natureza dos tipos, estaríamos engendrando, na verdade, uma hipótese aberta de “tentativa de fraude”, pois a conduta do agente difusor, a partir de um eventual resultado, pode ser qualquer uma. A partir do fornecimento espontâneo de dados, o agente pode praticar fraude, dano, furto, chantagem ou qualquer outro crime, inclusive fora da esfera digital (mundo atômico).
Nossa proposta, finalmente, é no sentido de que a redação do caput seja a seguinte, com sua inclusão no Título VIII (Dos crimes Contra a Incolumidade Pública), Capítulo II (Dos Crimes Contra a Segurança Dos Meios de Comunicação e Transporte e Outros Serviços Públicos):
“Difusão Maliciosa de Código
Art. 266 -A. Difundir, por qualquer meio, sistema informatizado com o propósito de induzir alguém a fornecer, espontaneamente e por qualquer meio, dados ou informações que facilitem ou permitam o acesso indevido ou sem autorização, a dispositivo de comunicação ou a sistema informatizado, ou a obtenção de qualquer vantagem ilícita:
Pena – reclusão de um a dois anos.
Parágrafo único - A pena é aumentada de sexta parte, se o agente se vale de anonimato, de nome suposto ou da utilização de identidade de terceiros para a prática de acesso.”
Outra sugestão do Senador refere-se à inclusão de alteração ao art. 46 do Decreto-Lei nº 2.848, de 7 de dezembro de 1940, Código Penal, mediante a inclusão a ele do § 5º dando a opção ao juiz a aplicação de pena alternativa, sugestão não acatada por entendermos que as penas alternativas já estão bem definidas no Código Penal. Ademais, a aplicação desta espécie de pena alternativa aumentará exponencialmente os riscos e as vulnerabilidades dos sistemas de informática das instituições públicas, que ficarão ainda mais expostas aos ataques de hackers e organizações cibernéticas criminosas, tendo em vista a possibilidade de instalação de backdoors e outros dispositivos fraudulentos nos softwares manipulados durante o cumprimento da pena.
Finalmente o Senador sugeriu a mudança do termo “meio eletrônico” por “dispositivo de comunicação” no art. 154-C, à qual acatamos e no substitutivo promovemos sua atualização e complementação:
“Dispositivo de Comunicação e Sistema Informatizado
Art. 154-C Para os efeitos penais, considera-se:
I – dispositivo de comunicação: o computador, o processador de dados, o disquete, o CD-ROM ou qualquer outro meio capaz de armazenar ou transmitir dados de maneira magnética, ótica, ou eletronicamente.
II – sistema informatizado: a rede de computadores, a base de dados, o programa de computador ou qualquer outro sistema capaz de armazenar ou transmitir dados eletronicamente.”
b) Arts. 163, §§ 2ºe 3º
A equiparação feita pelo § 2º (equiparação à coisa do dado, informação ou a base de dados; a senha ou qualquer meio de identificação) é pertinente, mas poderia estar posicionada no Capítulo VIII do Título II (Disposições Gerais), pois dessa forma a regra seria válida para todos os tipos de crimes contra o patrimônio.
Por contribuição valiosa de vários advogados especialistas em crimes de informática, quanto à conduta do § 3º, entendemos que a pena deva ser mais severa, tendo em conta a potencialidade do dano material que se pode causar, por isso sugerimos a criação de um tipo autônomo com pena mais agravada do que a prevista no caput e parágrafo único do art. 163 e mais ainda se praticada no anonimato.
Em vista disso, sugerimos a seguinte redação:
“Dano por Difusão de Vírus Eletrônico
Art. 163-A. Criar, inserir ou difundir vírus em dispositivo de comunicação ou sistema informatizado, com a finalidade de destruí-lo, inutilizá-lo ou dificultar-lhe o funcionamento.
Pena: detenção, de 1 (um) a 3 (três) anos, e multa.
Parágrafo único - A pena é aumentada de sexta parte, se o agente se vale de anonimato,de nome suposto ou da utilização de identidade de terceiros para a prática de acesso. ”
c) Art. 167 do CP
Por sua vez, a alteração proposta para o art. 167 do CP não é conveniente, pois proceder-se mediante queixa, quando o dado ou informação não tiver potencial de propagação ou alastramento, é um tratamento diferenciado para uma conduta por sí só inaceitável e que justamente por isso ganha tipo penal autônomo no art. 163-A.
d) Art. 218-A do CP (Pornografia Infantil)
O delito descrito nesse dispositivo já está previsto, de modo mais abrangente, nos arts. 240 e 241 do Estatuto da Criança e do Adolescente (ECA).
e) Arts. 265 e 266 do CP, respectivamente “atentado contra a segurança de serviço de utilidade pública” e “interrupção ou perturbação de serviço telegráfico ou telefônico”:
As alterações propostas para esses dispositivos são convenientes.
f) Arts. 298 e 298-A do CP
A redação que se propõe para o art. 298 é conveniente (falsificação de cartão de crédito); quanto ao art. 298-A procedemos a pequenas modificações de forma a melhorar sua clareza e compreensão, (falsificação de telefone celular ou meio de acesso a sistema eletrônico).
g) Art. 2º, § 2º, da Lei nº 9.296, de 1996
A alteração prevista no art. 2º da Lei nº 9.296, 24 de julho de 1996, é conveniente conforme o art. 15 do Substitutivo.
Não há que se falar em inconstitucionalidade da medida proposta, pois a reserva legal expressa e qualificada prevista no inciso XII do art. 5º da Constituição Federal estabeleceu apenas dois requisitos a serem observados pelo legislador ordinário no momento da regulamentação da restrição ao direito fundamental à privacidade das comunicações, quais sejam: existência de autorização judicial prévia à interceptação e ‘para fins de investigação criminal ou instrução processual penal’.
O constituinte não estabeleceu o requisito de os ‘crimes serem apenados com pena de reclusão’. Esta foi uma decisão do legislador ordinário, da Lei nº 9.296, de 1996, decisão que pode ser alterada a qualquer momento sem que isto signifique qualquer afronta à Lei Maior.
Há que se frisar, ainda, que referida alteração será importante para apuração de crimes punidos com detenção praticados com o uso de sistemas informatizados, tais como:
- calúnia (aplicação do art. 138 à conduta de falar falsamente em chat ou comunidade online que alguém cometeu crime),
- difamação (aplicação do art. 139 à conduta de difamar alguém através de boato eletrônico ou hoax),
- injúria (aplicação do art. 140 à conduta de enviar e-mail com ofensas pessoais ao destinatário),
- violação de direito autoral (aplicação do art. 184 à conduta de copiar conteúdo de página da Internet sem citar a fonte),
- falsa identidade (aplicação do art. 307 à conduta de enviar spam com remetente falso),
- exercício arbitrário das próprias razões (aplicação do art. 345 à conduta de atacar emissário de spam ou vírus para evitar novos danos).
Todos esses delitos são praticados por meio dos sistemas informatizados, mas seriam punidos, conforme a proposta aqui endossada, com pena de detenção, o que impede a interceptação para fins de instrução criminal, dificultando sua comprovação pelos ofendidos e pelo Ministério Público.
Essa medida, ademais, viabilizará a possibilidade de manter a apenação de crimes informáticos com pena de detenção, afastando a necessidade de se estipularem penas de reclusão para esses delitos, ferindo o princípio da proporcionalidade da pena. Se, para viabilizar a apuração e a investigação criminal, estabelecêssemos pena de reclusão para esses crimes, ao invés de viabilizar a quebra legal do sigilo para crimes apenados com detenção, estaríamos provocando severa e injustificada distorção do sistema penal.
h) Art. 10 do PLC nº 89, de 2003
O dispositivo é necessário, com as inclusões propostas no substitutivo, análogas aos artigos incluídos no Código Penal, para tipificar os crimes no Código Penal Militar, usando ferramentas de tecnologia da informação e comunicações.
Por fim, o art. 11 do projeto mostra-se adequado, enquanto o art. 12 não é conveniente, sendo preferível manter o sistema de crimes estabelecido nos arts. 240 e 241 do ECA. A Lei nº 10.764, de 12 de novembro de 2003, alterou o art. 241 do Estatuto da Criança e do Adolescente (Lei nº 8.069, de 13 de julho de 1990), para tipificar e punir de forma mais severa a pornografia infantil.
O PLS nº 76, de 2000, revestido de norma autônoma, afigura-se o projeto mais abrangente entre os que estão sendo aqui analisados. Os crimes informáticos estão divididos, no projeto, em crimes contra a inviolabilidade de dados e sua comunicação, contra a propriedade e o patrimônio, contra a honra e a vida privada, contra a vida e a integridade física das pessoas, contra o patrimônio fiscal, contra a moral pública e opção sexual e contra a segurança nacional.
Realmente a visão ampla que se tem dos crimes de informática é o grande mérito deste projeto inovador proposto pelo eminente Senador Renan Calheiros. Seus dispositivos mostram a gravidade crescente dos delitos praticados com instrumentos informatizados, cujas punições ainda não contam com o necessário suporte legal. Isto vem trazendo enorme insegurança a toda a sociedade pois crimes são praticados no anonimato da internet sem que haja a mínima possibilidade de defesa para o usuário.
Entretanto, a descrição de algumas das condutas deixa dúvidas em relação aos elementos dos respectivos delitos, o que pode prejudicar sua compreensão.
Vale lembrar que a Lei Complementar nº 95 de 1998 determina que havendo legislação em vigor deve-se preferir a sua alteração à criação de nova norma e desta forma o substitutivo proposto promove alterações ao Decreto-Lei nº 2.848, de 7 de dezembro de 1940, o Código Penal.
Comentamos, a seguir, sobre as disposições do PLS nº 76, de 2000.
a) Art. 1º, § 1º – crimes contra a inviolabilidade de dados e sua comunicação
Os incisos I, IV e V são espécies de crime de dano, descrito no art. 163 do CP; além disso, o inciso V deveria tipificar não a mera programação de instruções, mas a sua efetiva utilização, pois o nosso direito, via de regra, não pune os atos meramente preparatórios. Pode-se, alternativamente, prever, no art. 163 do CP, a equiparação dos dados informatizados à coisa, como o fez o PLC nº 89, de 2003, ou fazê-lo ao final do Título II do CP.
O inciso II pode ser tido como furto (art. 155 do CP), se houver subtração da coisa, ou como apropriação indébita (art. 168 do CP), se o agente tinha a posse ou a detenção da coisa. Quanto ao inciso III, melhor seria punir o uso indevido dos dados em razão da finalidade do agente: se atenta contra a intimidade da pessoa, contra o patrimônio, contra a fé pública, etc. Entretanto, há que se ter em conta que a maioria desses crimes já existe, e que a informática é apenas um meio para realização da conduta delituosa. A equiparação à coisa que se pode fazer ao final do Título II do CP resolveria o problema.
Além disso, as penas propostas são muito brandas em face da gravidade das condutas equiparadas que acima citamos.
b) Art. 1º, § 2º
Os incisos I e II são espécies de furto, crime definido no art. 155 do CP, cuja pena é bem mais severa do que a proposta no PLS nº 76, de 2000.
c) Art. 1º, § 3º
O inciso I está incluso no crime de injúria, descrito no art. 140 do CP; a conduta do inciso II, por sua vez, poderia ser inserida no Código Penal, mediante acréscimo do art. 154 D. Cabe observar que, se a informação for lesiva à honra, sua divulgação importará em um dos crimes tipificados no Capítulo V do Código Penal (calúnia, difamação ou injúria). Para desestimular o anonimato permitido pela internet, normalmente o caminho usado pelos autores dos crimes aqui tipificados, incluímos o artigo 154-F criando a obrigatoriedade de cadastramento identificador, além de estabelecermos, nos crimes em que tal conduta é especialmente perversa (Art. 154-A, § 3º, 154-D, parágrafo único e 266-A, parágrafo único), causas de aumento de pena a serem aplicadas pelo juiz, no momento de fixação da pena.
Todos os atos e fatos que se materializam através destes meios chegam, fácil e rapidamente, ao conhecimento de milhões de pessoas, causando um considerável prejuízo aos bens jurídicos tutelados. Em vista disso o potencial lesivo da conduta que ofende a honra da pessoa é incomensuravelmente maior quando o agente o faz por meio eletrônico como acontece nas redes de computadores. Isso já é bastante para justificar uma resposta penal mais severa, para que o agente sinta-se seriamente desestimulado a cometer o delito contra a honra por esse meio. É necessário, portanto, maior força penal coercitiva para evitá-los e assim fizemos incluir o art. 141-A conforme o art. 8º do substitutivo, estabelecendo causa especial de aumento de pena, com acréscimo de dois terços quando o meio utilizado é um dispositivo de comunicação ou sistema informatizado.
Novamente, em relação ao crime de ameaça, conduta que chega a ser banal no sítio do Orkut, por exemplo, a coibição do anonimato permitido pela internet, normalmente o caminho usado pelo agente da ameaça, entendemos suficiente a inclusão do artigo 154-F e dos parágrafos incluídos nos artigos 154-A, 154-D e 266-A.
d) Art. 1º, § 4º
O inciso I, a depender do resultado da conduta, será crime de lesão corporal ou homicídio, ambos já tipificados no Código Penal (arts. 129 e 121, respectivamente). O inciso II traz a incriminação de ato meramente preparatório. Além disso, os artefatos explosivos têm ampla utilização na indústria, não sendo conveniente definir como crime o trabalho intelectual de elaboração de um sistema informatizado de detonação.
e) Art. 1º, § 5º
As condutas descritas nos incisos I e II configuram crime contra a ordem tributária, definidos de forma mais abrangente e adequada nos arts. 1º e 2º da Lei nº 8.137, de 27 de dezembro de 1990.
f) Art. 1º, § 6º
O inciso I já está definido no art. 218 do CP (corrupção de menores).
Os incisos II e III estão inclusos no art. 234 do CP (escrito ou objeto obsceno).
Novamente, com o anonimato coibido pelo artigo 154-F e pelos parágrafos incluídos nos artigos 154-A, 154-D e 266-A do substitutivo, os autores destes crimes estarão desestimulados a cometê-los.
g) Art. 1º, § 7º
Os crimes definidos nesse parágrafo já estão contemplados na Lei nº 7.170, de 14 de dezembro de 1983 (Lei de Segurança Nacional), especificamente nos seus arts. 13, 15 e 23.
Recentemente em Audiência Pública sobre o PLS nº 279 de 2003, do qual também sou relator, de autoria do nobre Senador Delcídio Amaral e que propõe a criação de um cadastro de titulares de correio eletrônico na internet, ficou evidente que, para fins de investigação, é necessário estabelecer um prazo legal de armazenamento dos dados de conexões e comunicações realizadas pelos equipamentos componentes da internet, o que será feito pelos seus provedores de acesso. Os serviços de telefonia e transmissão de dados mantêm por cinco anos os dados de conexões e chamadas realizadas por seus clientes para fins judiciais, mas na internet brasileira inexiste procedimento análogo.
Registre-se que naquela audiência foram ouvidos representantes do Comitê Gestor da Internet no Brasil (CGIBr) do Ministério da Ciência e Tecnologia; da Fundação de Amparo à Pesquisa de São Paulo (FAPESP) que representa no Brasil o ICANN (Internet Corporation for Assigning Names and Numbers), gestora do registro de nomes e números IP (Internet Protocol), ou seja, os endereços na internet; da– Associação Brasileira dos Provedores de Internet (ABRANET); do Instituto de Criminalística em Informática da Polícia Federal, do Ministério da Justiça (PF); da Agência Nacional de Telecomunicações (ANATEL).
Há apenas uma recomendação do Comitê Gestor da Internet Brasil (CGIBr) aos provedores nacionais: que mantenham, por no mínimo três anos, os dados de conexões e comunicações realizadas por seus equipamentos – a saber, identificação dos endereços de IP (protocolo de internet) do remetente e do destinatário da mensagem, bem como a data e horário de início e término da conexão, sem registrar o conteúdo da mensagem, preservando assim o sigilo da comunicação. É clara a necessidade de se transformar tal recomendação em imposição legal, razão por que apresentamos a inclusão no Código Penal do art.154-E conforme o art. 2º do substitutivo.
Além disso, também para fins de investigação, na mesma Audiência Pública, registrou-se a necessidade de estabelecer a obrigatoriedade de identificação positiva do usuário que acesse a Internet, ou qualquer rede de computadores, perante seu provedor ou junto a quem lhe torne disponível o acesso a dispositivo de comunicação ou sistema informatizado, muito embora todos tenham reconhecido as dificuldades técnicas, econômicas e culturais que a regra possa oferecer. Incluem-se aqui os cyber-cafe ou hot zones.
Vêm à memória os episódios danosos que ocorreram no início da operação com os celulares pré-pagos, o que obrigou o seu cadastramento obrigatório pelas operadoras, contra todos os argumentos então apresentados, ou seja, a sociedade brasileira mostrou o seu bom senso e mudou seu comportamento. Desde já, alertamos que tal identificação e cadastramento necessitam serem necessariamente presenciais, com cópias de documentos originais, mas admite-se a alternativa de se utilizarem os certificados digitais, cuja emissão já é presencial conforme definido em Lei.
Outras formas alternativas de identificação e cadastramento podem ser usadas a exemplo do que os bancos, operadoras de telefonia, operadores de call-center e o comércio eletrônico em geral já vêm fazendo, usando cadastros disponíveis mediante convênios de cooperação ou simples colaboração. Dados como nome de acesso (login ou username), nome completo, filiação, endereço completo, data de nascimento, números de telefone e senha criteriosa (número de caracteres, mistura de letras e números etc) devem ser requeridos no momento do cadastramento de um novo usuário. Este, ao solicitar um acesso posterior, usará seu nome de acesso e sua senha e outros procedimentos de validação e conferência automáticas realizados pelo sistema do provedor de acesso, procedimentos que têm o nome de “autenticação do usuário”.
Conforme já citado em parágrafo anterior, a identificação e conseqüente cadastramento já acontecem com os serviços de telefonia, transmissão de dados e rádio-transmissão, onde cada operador já é obrigado por regulamento a manter um cadastro de proprietários de telefones fixos, móveis ou de aparelhos transmissores e receptores de rádio - cadastro usado exclusivamente para fins de investigação ou judiciais. Novamente, procedimento obrigatório análogo não existe na internet brasileira.
Novas tecnologias de transmissão, como a conexão sem fio, conhecida como wireless ou Wi-Fi, estão cada vez mais disponíveis. Como são padronizadas internacionalmente, tendem a se tornar extremamente baratas e a serem disseminadas largamente por todas as cidades, distritos ou aglomerações urbanas ou rurais, libertando o usuário de internet do local físico a que hoje está obrigado. Com o advento próximo da televisão digital tal disseminação será ainda mais efetiva.
Ainda, em qualquer outro serviço privado que se utilize da internet, seja instituição financeira, operadoras de cartões de crédito, empresas de comércio ou indústria, ou nas redes internas das instituições públicas e privadas, a autenticação do usuário mediante senha acompanhada, ou não, de outros requisitos de identificação, como certificado digital, tabela de códigos alfanuméricos e assim por diante, são requeridos para que o usuário acesse os serviços ou as informações.
Em outro caso, em decisão recente, o Tribunal Superior do Trabalho (TST) deu ganho de causa a um banco contra um funcionário que divulgava informações incorretas sobre as aplicações em um fundo de investimentos. O referido agente fora denunciado por uma cliente que tivera prejuízos com as informações e, em razão disso, foi demitido por justa causa, já que usou equipamento do banco, em horário de trabalho funcional, distribuindo informes não-verdadeiros na internet.
Assim, não é demais lembrar, principalmente para esses casos de difamação e injúria ou de prejuízos pessoais, o que dispõe a Carta Magna no seu art. 5º inciso IV que diz “é livre a manifestação do pensamento, sendo vedado o anonimato”, o que por si só já justificaria a identificação, o cadastramento e a respectiva autenticação do usuário pelo provedor de acesso à internet brasileira.
Para tanto, transformamos a identificação, o cadastro e respectiva autenticação do usuário em imposição legal, conforme o caput do Art. 13 do substitutivo e incluindo no Código Penal o artigo 154-F e os parágrafos incluídos nos artigos. 154-A, 154-D e 266-A, conforme o art. 2° do substitutivo.
A fim de preservar a intimidade dos usuários, o cadastro somente poderá ser fornecido a terceiros mediante expressa autorização judicial ou em casos que a Lei determinar, conforme o § 2º do art. 14 do substitutivo.
Mas reconhecendo a existência de ferramentas de segurança mais potentes, previmos, conforme o § 3º do art. 14 do substitutivo, a troca opcional, pelo provedor, da identificação e do cadastro do usuário, pelo certificado digital.
Este requer, de maneira presencial quando da sua emissão, todas as informações cadastrais, inclusive a constituição tecnicamente adequada de senha.
A regra é condizente com a Medida Provisória número 2.200-2, de 24 de agosto de 2001, mantida em vigor conforme a Emenda Constitucional número 32, de 12 de setembro de 2001. Como toda tecnologia inovadora o certificado digital inicialmente se restringiu às trocas interbancárias, a Transferência Eletrônica Disponível (TED), instituída pelo Sistema de Pagamentos Brasileiro (SPB), implantado em 2002 pelo Banco Central do Brasil. Estatísticas recentes mostram a ocorrência de quase 100 milhões de transações e mais de R$ 5 trilhões de reais transferidos com toda segurança em tempo real.
É público o fato de que o custo de cada certificado digital e seu suporte físico, (cartão de plástico, CD-ROM, ou outro dispositivo de comunicação), tende a cair em proporção geométrica, à medida que se dissemine o seu uso, uma característica conhecida das inovações tecnológicas.
Ao dispor sobre o uso do certificado digital como opcional, a presente norma permite a sua própria evolução, aguardando que a sociedade se adapte à nova realidade transformada a cada dia pela tecnologia, sem obrigar o usuário ou os provedores a novos custos ou a novos hábitos e comportamentos.
Por fim, mantendo a necessária segurança e respeitando os pressupostos de uma rede de computadores, naturalmente ágil, compatível, interoperável, colaborativa e cooperativa, previmos, conforme o § 4º do art. 14 do substitutivo, a substituição opcional do cadastro de identificação, a critério daquele que torna disponível o acesso, por cadastro que poderá ser obtido mediante instrumento público de convênio de cooperação ou colaboração com aqueles que já o tenham constituído na forma prevista no substitutivo.

Para finalizar , entendo que o importante é trazermos este tipo de discussão para o grupo avaliar e expressar opiniões.

[7] Comentário enviado por gardinbozo em 29/12/2008 - 10:35h

aham

[8] Comentário enviado por Ignorante em 05/01/2009 - 18:30h

Caraca!!!
Muito interessante esse artigo, mau posso esperar para chegar a segunda parte...
falow!!!!!!!!

[9] Comentário enviado por removido em 27/02/2017 - 22:44h


O artigo é copia do FDTK esta cometendo plágio.

http://fdtk.com.br

Crime de Violação aos Direitos Autorais no Art. 184 – Código Penal.

http://www.planalto.gov.br/ccivil_03/LEIS/2003/L10.695.htm#art1art184


Brasil já existem leis específicas para crimes digitais

LEI Nº 12.737, DE 30 DE NOVEMBRO DE 2012.

http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2012/Lei/L12737.htm


Contribuir com comentário