30/4/2004 - 19:51 Redação InfoGuerra

O Instituto Brasileiro de Geografia e Estatística (IBGE) divulgou um alerta em seu site a respeito de um e-mail fraudulento que circula pela Internet sobre um suposto censo online. A mensagem é assinada por um falso diretor do instituto, com o nome de Sérgio da Costa Neto de Andrade, e convida os destinatários a preencherem um formulário que inclui dados de conta bancária.

A abordagem indica mais um phishing scam, tentativa de obter dados pessoais e bancários para posteriores ataques. A falsa mensagem possui características desse tipo de golpe, entre as quais flagrantes erros de português e a solicitação de dados privados, como endereço de e-mail e a instituição bancária onde o destinatário possui conta. Em contato com o IBGE, InfoGuerra obteve uma cópia da mensagem fraudulenta, que pode vista abaixo:


A metodologia de pesquisa online não é utilizada pelo Instituto. "A Direção do IBGE no Rio de Janeiro informa aos jornalistas e à população em geral, que este não é, em nenhuma hipótese, o procedimento da Instituição e que a realização de toda e qualquer pesquisa, seja censitária ou por amostragem, é precedida de debates com os usuários, tem as datas de realização e de apuração informadas no site do IBGE na Internet e que, sobretudo, nenhum domicílio a ser visitado é pego de surpresa. Ao ser escolhido para uma amostra, seja domicílio, empresa ou instituição, todos recebem antes uma carta do IBGE avisando e prevenindo os informantes de que receberão a visita de um agente da Instituição, devidamente credenciado", informa o aviso.

O IBGE lembra que segue a “Lei do Sigilo”, que o impede de relacionar as informações prestadas ao instituto a indivíduos, de forma que possa identificá-los, como no caso de preenchimento de endereços de e-mail. Segundo o IBGE, a Polícia Federal foi acionada para identificar a origem da mensagem fraudulenta.

30/4/2004 - 18:55 Redação InfoGuerra

A empresa antivírus Sophos divulgou hoje seu relatório mensal mostrando que o Netsky foi o vírus mais
ativo de abril. Sete versões diferentes do vírus foram responsáveis por 69% das ocorrências de códigos maléficos relatadas à empresa durante o mês que passou. No mês de março, outras variantes do Netsky também ocuparan os primeiros lugares no ranking das 10 pragas mais ativas.

A versão mais relatada foi o Netsky.P, com 23% dos ataques, seguida pelo Netsky.B, com 20%. A variante D aparece em terceiro, com 17% dos incidentes. Aparecem ainda na lista dos dez piores vírus o Sober.F, o Bagle.Zip e o Gibe.F. A Sophos identificou 740 novos vírus em abril.

"Durante todo o mês de abril, diversas variantes do vírus Netsky continuaram a causar sérios problemas aos usuários de computadores desprotegidos.  Uma vez que o autor do Netsky original afirma ter aberto o código malicioso, é possível que outros gatunos tenham se aproveitado para enviar novas variantes do Netsky", afirmou a consultora de segurança da Sophos, Carole Theriault.

Veja, abaixo, a tabela de abril liberada pela empresa:



Leia também:

Netsky foi o pior vírus de março

30/4/2004 - 18:23 Redação InfoGuerra

Autoridades americanas denunciaram nesta semana duas empresas, uma americana e outra australiana, pelo envio de spams sobre produtos de emagrecimento e rejuvenescimento. Sãos os primeiros processos decorrentes da nova legislação anti-spam norte-americana. A lei, batizada de CAN-SPAM, entrou em vigor em janeiro deste ano e obriga que mensagens não solicitadas incluam um mecanismo para os
destinatários indicarem que não desejam continuar a recebê-las.

Os quatro primeiros denunciados com base nesta lei, Daniel J. Lin, James J. Lin, Mark M. Sadek e Christopher Chung, são de Detroit. Chung e Sadek foram presos e liberados sob fiança de US$10 mil (cerca de R$ 30 mil). Os outros dois ainda não foram encontrados. Os bens dos acusados foram bloqueados. Sua empresa, Phoenix Avatar, é acusada pela Comissão Federal de Comércio (FTC) dos EUA de usar servidores de e-mail desprotegidos para enviar milhares de propagandas com identificações falsas (spoofing) e não incluir um meio para os leitores não continuarem a receber as mensagens.

Outra acusação envolve fraude comercial. Os produtos para emagrecimento vendidos com os nomes de AIT Herbal, Avatar Nutrition e Phoenix Avatar, entre outros, eram inócuos. A empresa operaria a partir de Detroit e faturaria quase US$ 100 mil por mês com as vendas.

"Vai ser divertido", afirmou o advogado de Sadek, James Feinberg, à Associated Press (AP). "Não para meu cliente, mas para mim, profissionalmente. Ninguém nunca fez isso". O advogado disse que seu cliente estava "absolutamente chocado" e irá alegar inocência. Os outros acusados não puderam ser encontrados pela agência.

"Essas pessoas enviavam spams para pelo menos um milhão de pessoas", declarou à AP Gina Balaya, porta-voz do equivalente norte-americano ao Ministério Público brasileiro. A FTC afirma ter recebido cerca de 490 mil reclamações sobre e-mails não solicitados enviados pela empresa.

A outra empresa é a australiana Global Web Promotions, que vendia supostos hormônios do crescimento com a promessa de que manteriam a aparência e idade biológica dos usuários por 10 a 20 anos. A empresa também vendia produtos de emagrecimento.

A acusação é de que a Global Web Promotions, como a Phoenix Avatar, utilizava e-mails de usuários legítimos como remetentes das suas mensagens. As mensagens que retornavam (bounced) eram recebidas por esses terceiros inocentes, muitas vezes impossibilitando o serviço regular de empresas como AOL e Microsoft.

Além disso, não foram encontrados traços de qualquer tipo de hormônio de crescimento nos produtos, o que deu origem a outra acusação contra a empresa. Foram quase 400 mil reclamações contra a australiana. A FTC solicitou a suspensão do envio das mensagens, das vendas e remessas de mercadorias da empresa. O órgão americano contou com a colaboração de comissões de comércio e defesa do consumidor na Austrália e Nova Zelândia.

Leia também:

Especial: Os fins não justificam os e-mails

Lei anti-spam dos EUA provoca polêmica e críticas

Lei anti-spam dos EUA ainda não mostra resultados

O que dizem as leis anti-spam pelo mundo

30/4/2004 - 11:50 Redação InfoGuerra

A atualização de segurança da Microsoft distribuída com o boletim MS04-011 possui um bug que causa o travamento de algumas máquinas rodando o Windows 2000. Segundo informa a própria Microsoft, o computador pode parar de responder ao iniciar, não completar o login ou se aproximar de 100% de uso do processador.

O problema aparece quando o cliente Nortel Networks VPN está instalado e se o Agente IPSec Policy estiver configurado para inicialização manual ou automática. Nesses casos, o Windows 2000 tenta repetidamente carregar alguns drivers que não são carregados corretamente. São afetados o Windows 2000 Server, Advanced Server e Professional. A Microsoft propõe contornar o problema com a desativação do IPsec.

A correção é uma das mais críticas já distribuídas pela Microsoft. São abordadas 14 falhas de segurança diferentes, incluindo uma relacionada ao protocolo SSL que já está sendo explorada por crackers. Pesquisa da Netcraft mostra que a plataforma Windows é a mais utilizada em sites ditos seguros (com SSL), detendo 39% do mercado.

Leia também:

Novas falhas do Windows já estão sendo exploradas

29/4/2004 - 15:59 Redação InfoGuerra

Desde ontem, 28 de abril, estão abertas as inscrições para o 5º Fórum Internacional de Software Livre (FISL), que acontecerá em Porto Alegre de 2 a 5 de junho. O FISL já se firmou como o principal evento de software livre no País e reúne personalidades nacionais e internacionais desse setor.

Para a quinta edição do evento já estão confirmadas as presenças do coordenador geral do Projeto de Documentação do Linux, Guylhem Aznar, do presidente da Linux International, John Maddog, e do deputado peruano Edgar Villanueva.

Villanueva é autor de um polêmico projeto de lei peruano que propõe o uso exclusivo de softwares de código aberto pelo governo daquele país. O ponto mais polêmico da lei é a justificativa de que o código é informação e que essa deve ser de conhecimento do povo em um governo democrático. A senadora Serys Slhessarenko (PT-MT), da Frente Parlamentar Mista pelo Software Livre e Inclusão Digital, também deve estar presente.

O valor da taxa de inscrição é de R$ 40,00 até 10 de maio, mas estudantes e caravanas pagam meia entrada. Todos devem levar ainda um quilo de alimento não perecível. A organização oferece tarifas e condições especiais de hospedagem e transporte, como até 49% de desconto no valor da passagem aérea. O 5º FISL conta com o patrocínio da Prefeitura Municipal de Porto Alegre e a Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS), que cederá seu Centro de Eventos para o fórum. Para se inscrever ou obter mais informações, visite o site do evento.

29/4/2004 - 12:44 Redação InfoGuerra

Um grupo internacional de cientistas da computação e matemáticos venceu o Desafio de Fatoração RSA-576 e levou os US$ 10 mil de prêmio. A tarefa consistia na quebra da chave criptográfica de 576 bits divulgada pela empresa RSA Security em 2001 e levou pouco mais de três meses para ser concluída.

Para realizar a tarefa, oito pesquisadores reuniram especialistas da Alemanha, Holanda, Canadá, Estados Unidos e Inglaterra e cerca de 100 estações de trabalho. Eles usaram um algoritmo de campo de número generalizado (GNFS) para reunir os dados, identificar dependências entre eles e usar essas dependências para fatorar o número.

O RSA-576, um número de 174 dígitos decimais, é o mais fácil do concurso da RSA, que possui outros sete níveis de dificuldade. O próximo é o RSA-640, de 193 dígitos decimais. A série atual vai até o RSA-2048, de 617 dígitos decimais. Os prêmios aumentam com a dificuldade, indo, agora, de US$ 20 mil a US$ 200 mil.

Os números representam os tamanhos usualmente recomendados para chaves de criptografia assimétrica em conexões de sites seguros e redes sem fio. A chave quebrada seria o patamar mínimo e o RSA-1024 representa a recomendação padrão. Segundo a RSA, a quebra de uma chave, no entanto, não a torna insegura ou diminui sua eficácia. Em termos práticos, o resultado significa que para se quebrar uma chave semelhante, de 576 bits, seriam necessários cerca de 100 computadores processando os dados por cerca de três meses. Se a informação criptografada vale menos que esse esforço, a chave ainda pode ser usada.

A empresa esperava que a chave fosse quebrada no ano seguinte ao lançamento do concurso, 2001, e acredita que a chave de 2048 bits ainda dure décadas.

Leia também:

RSA desafia hackers do mundo todo

28/4/2004 - 18:50 Redação InfoGuerra

Shoot the Messenger: simples e eficiente

O problema já é conhecido há algum tempo. A solucão também. Mas, mesmo assim, muita gente ainda se assusta ao receber pela primeira vez um spam enviado por meio do serviço Mensageiro do Windows e pede auxílio para se livrar do incômodo ― uma janela que surge do nada na tela do PC, anunciando um produto ou serviço qualquer. Se você ainda é afetado por este tipo de spam, o "Shoot the Messenger" (Atire no Mensageiro) é a solução que buscava. O software, desenvolvido pelo engenheiro de computação Steve Gibson, é simples, eficiente, direto... e gratuito.

Com apenas 22 KB e um único botão de comando, o Shoot The Messenger pode desativar ou ativar o Mensageiro do Windows a qualquer momento, com um simples clique do mouse. Ele também indica o status atual do sistema e suporta opções de linha de comando, para ser utilizado em scripts ou comandos em lote. O software não afeta em nada a funcionalidade de programas de mensagens instantâneas como o MSN Messenger, AIM ou ICQ, que são totalmente diferentes do serviço integrante do Windows.

O Mensageiro serviria para administradores contatarem diretamente usuários de suas redes, gerando um alerta pop-up, mas nunca foi popularizado. Pior, o serviço não possui nenhum tipo de controle ou validação das mensagens enviadas: basta ao remetente conhecer o IP do destinatário, o que é uma tarefa relativamente fácil. Mas no caso de spammers não interessa quem receba sua mensagem, contanto que receba. Por isso, o Mensageiro não tardou a ser usado indevidamente para o envio de publicidade não solicitada pela Internet. Para baixar o Shoot the Messenger e se livrar do problema de uma vez por todas, clique aqui.

Leia também:

Falha no Mensageiro é mais perigosa do que se pensava

Microsoft muda configuração padrão do Windows XP

Não dê dinheiro a spammers

Spam via Windows já é uma realidade

Spam está sendo enviado por meio do Mensageiro do Windows

28/4/2004 - 13:09 Redação InfoGuerra

Um erro no tratamento de nomes longos de arquivos no Windows Explorer e no Internet Explorer pode abrir o computador a ataques externos. A falha é causada por nomes de arquivos com mais de 300 caracteres sem que nenhum deles seja minúsculo.

Esse tipo de nome não é permitido pelo Windows, mas por outros servidores, como o Samba, sim. Um ataque teria de levar o usuário a clicar em um link apropriado ou acessar um site ou servidor de arquivos mal-intencionado. Caso bem-sucedido, o invasor poderia executar códigos remotamente no computador da vítima, comprometendo todo o sistema.

A vulnerabilidade foi divulgada esta semana pelo chileno Rodrigo Gutierrez, mas data do início de 2002. Gutierrez afirma que a Microsoft foi alertada na época e que a empresa garantiu ter solucionado o problema com o Service Pack (SP) 1 do Windows XP e o SP 4 do Windows 2000. Porém, o novo alerta, confirmado pela empresa de segurança Secunia, desmente que essas correções realmente funcionem.

Foi demonstrado que a falha afeta os sistemas operacionais Windows 2000, 95, 98, Millenium, NT e XP e os navegadores Internet Explorer 5.01 e posteriores. O problema normalmente é restringido pelo uso de roteadores e firewalls, que bloqueiam o tráfego desse tipo de dados. Isso limitaria o ataque a uma rede local. Exceto a configuração adequada de roteadores e firewalls, não há ainda uma solução para o problema. Pode-se desativar o "Cliente para Redes Microsoft" das placas de rede, mas isso afetará a funcionalidade de compartilhamento de arquivos.

Leia também:

Proteja-se de golpes atualizando seu browser

Brecha do IE estimula proliferação de golpes por e-mail

Falha no LiveUpdate permite alteração local de privilégios de usuários

Golpe por e-mail tenta explorar novo bug do IE

28/4/2004 - 6:37 Redação

Cerca de 34 milhões de pessoas visitaram sites de pornografia em agosto de 2003, o que significa um em cada quatro internautas nos Estados Unidos, de acordo com um levantamento da Nielsen/NetRatings. Já a a ComScore Networks estima que 37% de funcionários com acesso à Internet nos EUA visitaram um  site "X-rated" durante o horário de expediente.

A popularização do acesso a sites pornográficos durante o expediente de trabalho é corroborado pela empresa Websense, especializada em gerenciamento do uso da Internet por funcionários. A empresa informa que o número de sites de pornografia em seu banco de dados está 17 vezes maior do que o apresentado há quatro anos ― passou de 88.000 sites em 2000 para quase 1,6 milhão atualmente.

O fator que levou a esse aumento no número de sites pornográficos identificados, segundo a Websense, foi a disseminação de tecnologias como conexões de banda larga e streaming de vídeo. Novas táticas utilizadas pelos fornecedores de pornografia para conquistar clientes, muitas vezes semelhantes a vírus ou apenas enganosas, também contribuíram para esse aumento.

Tais táticas fazem com que, mesmo sem querer, alguns funcionários acabem visitando sites pornográficos de forma inadvertida ou por engano. É o que acontece quando uma empresa de pornografia compra domínios vencidos ou semelhantes a endereços legítimos ― para capturar erros de digitação ― e os utiliza como redirecionamento a seus sites.

Ataques a sites legítimos também podem incluir referências a pornografia, como um recente ataque à pagina de deputados de Nova Iorque, que foi substituída por um "guia para ajudar a localizar os melhores sites de
pornografia do mundo". Outra tática é o chamado "mousetrapping". Ao sair de um site adulto, o usuário é "bombardeado" por janelas de outros sites pornográficos, o que muitas vezes força internautas a finalizarem o navegador.

Para buscas voluntárias de pornografia online, um meio bastante utilizado são as redes P2P, como Kazaa e eMule. Um estudo de 2003 da Palisade Systems indica que, de mais de 22 milhões de buscas nessas redes, 73% dos filmes procurados eram adultos.

27/4/2004 - 5:26 Giordani Rodrigues

O worm Netsky acaba de cruzar a linha do alfabeto ocidental. Depois de suas variantes saturarem todas as letras, de A a Z, agora surge o Netsky.AA. Isto, aliás, já era previsto, e não há sinais de que o processo vá parar em breve.

O Netsky.AA tem comportamento semelhante ao de muitas de suas variantes anteriores. Segundo a empresa antivírus Sophos, o worm propaga-se enviando spam para endereços de e-mail que encontra em variados tipos de arquivos na máquina infectada. As mensagens contaminadas possuem diversos assuntos, conteúdos e nomes de anexos.

O arquivo que caracteriza esta variante é descarregado na pasta do Windows e tem o nome “winlogon.scr”. Este mesmo nome é adicionado a uma chave do registro para que o programa maléfico seja rodado toda vez que o sistema é iniciado. O Netsky.AA está sendo considerado de baixo risco. Detalhes (em inglês) sobre esta variante podem ser encontrados no site da Sophos.

Frisson

Apesar do frisson que a rápida proliferação de variantes do Netsky tem provocado em alguns veículos de comunicação, não é a primeira vez que um código maléfico ultrapassa, em variantes, as possibilidades do alfabeto. O Netsky também não é o worm com o maior número de variantes até hoje, ao contrário do que já se publicou por aí.

Uma prova disso é o worm Yaha ou Lentin, um código maléfico sofisticado e bastante nocivo, que tem mais variantes do que o Netsky, mas não foi tão celebrado pela mídia quanto este. Empresas como Symantec registram a existência do Yaha.Z, Yaha.AA , Yaha.AB, chegando ao Yaha.AF, e atualizações de antivírus como o NOD32 registram até o Yaha.AJ.

Leia também:

Vírus Netsky-Z ataca sites educacionais

Netsky foi o pior vírus de março

Nova versão do Netsky ataca sites P2P

Symantec eleva nível de risco do vírus Netsky.D

Vírus Netsky.C é considerado de alto risco

26/4/2004 - 16:32 Redação InfoGuerra

Começa hoje, 26 de abril, e se estende até o dia 30 de abril a Semana de Capacitação em Software Livre, maior evento do gênero já realizado por instituições governamentais brasileiras. A iniciativa é do Ministério da Saúde e do Instituto Nacional de Tecnologia da Informação (ITI) e conta com mais de 2 mil inscritos.

Os objetivos da semana são aumentar os conhecimentos sobre software livre entre servidores federais, estaduais e municipais, para que se tornem agentes multiplicadores em suas instituições de origem. Os cursos são gratuitos e visam a implantação e gerenciamento de plataformas e aplicativos de código aberto na administração dos órgãos inscritos.

O seminário contará com as presenças do ministro-chefe da Casa Civil José Dirceu, da senadora da Frente Parlamentar de Software Livre Serys Slhessarenko, do secretário de Logística e Tecnologia da Informação do Ministério do Planejamento, Rogério Santanna, do secretário de Política de Informática e Tecnologia do Ministério da Ciência e Tecnologia, Arthur Pereira Nunes, do presidente do Serpro, Henrique Costábille, do presidente da Anatel, Pedro Jaime Ziller, do presidente dos Correios, João Henrique de Almeida Souza e do reitor da UnB, Lauro Morhy.

As aulas serão ministradas das 9h às 18h na Universidade Correios e na Universidade de Brasília e serão divididas em cinco eixos temáticos: Gestão para Software Livre, Suporte a Aplicações em Software Livre, Bases de Dados, Infra-estrutura e Desenvolvimento de Software. No total, serão ministrados 150 cursos, desde "Introdução ao GNU/Linux" até "Voz sobre IP" e "Zope".

26/4/2004 - 15:04 Redação InfoGuerra

Pelo menos dois sites da operadora de telefonia celular Claro amanheceram pichados nesta segunda-feira, 26 de abril. Os endereços Claro.com.br e Clarodigital.com.br passaram boa parte da manhã apresentando fundo branco e uma mensagem estranha em suas páginas. Depois de algum tempo, as páginas pichadas foram retiradas do ar e o site oficial da operadora passou a apresentar o seguinte aviso: “Estamos com uma grande quantidade de acessos ao site da Claro no momento. Tente novamente mais tarde. Aguardamos sua visita. Obrigado”.

O ataque foi assinado pelos defacers (desfiguradores de sites) Break_IDS e GagO_XegadoS, que se declaram pertencentes ao grupo brasileiro Data Cha0s. A mensagem segue o padrão de casos como esse: inglês ruim, chacota sobre o administrador do site e assinatura dos autores. Cópias das páginas atacadas podem ser vistas aqui e aqui.

De acordo com os registros do site Zone-H, o Data Cha0s, um dos mais antigos grupos de defacers brasileiros, possui mais de 2,3 mil pichações no "currículo". Apenas no dia 25 de abril, foram 34 os sites atacados por seus integrantes. Em pelo menos duas ocasiões já foi anunciado o fim do grupo, mas até hoje o nome continua aparecendo em desfigurações pela Internet.

De acordo com o banco de dados da Netcraft.com, os sites da Claro rodam o servidor Web IIS 5.0, da Microsoft, em sistema operacional Windows 2000. A assessoria da empresa foi contatada e afirmou que os sites estavam apresentando problema, mas não confirmou os ataques.

24/4/2004 - 0:11 Redação InfoGuerra

A Microsoft revelou nesta quinta-feira, dia 22, que tomou conhecimento da existência de códigos maliciosos para exploração das falhas de segurança divulgadas na semana passada pela empresa. As vulnerabilidades afetam várias versões do Windows com níveis de perigo diferentes e permitem execução remota de código, elevação de privilégios de usuários locais, estouro de memória e negação de serviço.

O Centro de Atendimento a Incidentes de Segurança (CAIS), responsável pela segurança da rede universitária brasileira, confirma a descoberta do código malicioso (exploit). Segundo o CAIS, o código permitiria a um atacante controlar remotamente o computador afetado, comprometendo todo o sistema por meio de uma shell (área de trabalho, o equivalente ao desktop do Windows). O exploit também pode servir de base para a criação de novos vírus e worms. Por isso, deve-se instalar o quanto antes as atualizações já disponíveis.

A falha explorada é relacionada a um estouro de memória no protocolo PCT (Private Communications Protocol), parte da biblioteca SSL (Security Socket Layer) da Microsoft, e afeta qualquer produto que o utilize. Em alguns casos, controladores de domínio Windows 2000 também são afetados. Isso inclui, entre outros, os servidores IIS 4.0, 5.0 e 5.1, Exchange Server 5.5, 2000 e 2003 e Analysis Services 2000, incluído no SQL Server 2000. O próprio SQL Server 200 não é afetado, já que bloqueia especificamente conexões PCT.

A Microsoft pede aos usuários domésticos e outros que não rodem servidores Web sem necessidade e utilizem o Windows Update para se manterem seguros. A empresa também fornece informações sobre como contornar o problema sem a instalação das atualizações.

O CAIS possui uma página com a versão em português do boletim MS04-011, de 13 de abril, contendo links para todas as atualizações. Elas devem ser aplicadas imediatamente nos sistemas operacionais Windows NT (Workstation e Server), 2000, XP, Server e no NetMeeting. Apesar de também serem afetados, não há atualizações disponíveis para os Windows 98 e Millenium, já que a Microsoft considerou as falhas de baixa gravidade nesses sistemas.

23/4/2004 - 23:44

A Symantec lançou a versão em português do Symantec Mail Security 4.5, novo pacote de proteção para o sistema de mensagens e colaboração Microsoft Exchange. O lançamento integra prevenção de spam baseada em recursos de inteligência artificial (heurísticos), lista branca de envio e recebimento de correio eletrônico, filtragem de conteúdo flexível e antivírus.

Entre as funcionalidades oferecidas para o Exchange estão a proteção para o novo Virus Scan API 2.5 – projetado para melhorar a performance e garantir a varredura de todo o corpo do e-mail e seus anexos ― e para o Microsoft Spam Confidence Layer, método de classificação de spams por meio de inteligência
artificial.

Outra característica do Mail Security 4.5 é o controle de mensagens indesejadas pela análise da caixa de entrada. O sistema identifica características típicas de spams e atribui um índice de probabilidade do e-mail ser realmente lixo eletrônico. Desta forma, o sistema ajuda a definir como tratar cada um deles, excluindo os considerados de alto nível ou inserindo avisos de spam no campo do assunto. O produto também permite a criação de listas brancas de remetentes, cujas mensagens passam direto pelos filtros e análise heurística, para prevenir falsos positivos.

23/4/2004 - 7:43 Redação InfoGuerra

A Sophos lançou um alerta de que seus pesquisadores detectaram a mais nova variante do vírus Netsky, a Netsky-Z (W32/Netsky-Z), que está se propagando rapidamente. A praga pode transformar os PCs contaminados numa base para lançar ataques com o objetivo de tirar do ar pelo menos três sites de conteúdo e foco educacional ― www.educ.ch, www.medinfo.ufl.edu e www.nibis.de ― baseados na Suíça, EUA e Alemanha.

O Netsky-Z está programado para funcionar até o início de maio. Entre os dias 2 e 5 deverão ocorrer os ataques de negação de serviço contra os sites mencionados. As duas versões anteriores, Netsky-X e Netsky-Y também foram desenvolvidas para lançar ataques contra estes mesmos sites, mas sua atividade termina no final de abril. Outras versões do Netsky atacaram sites de trocas de arquivos, como Kazaa.

O worm espalha-se via e-mail, usando as mesmas linhas de assunto (“Information”, “Document”, “Important” e “Hi”) das versões anteriores. O arquivo anexo que o carrega vem compactado e pode ter vários nomes, como “Bill.zip”, “Important.zip”, “Details.zip” e outros.

Ao ser executado, o worm descarrega na pasta do Windows o arquivo Jammer2nd.exe e utiliza este mesmo nome para criar novas chaves no registro e ser rodado toda vez que o sistema é iniciado. Além disso, abre a porta TCP 665 para dar acesso remoto ao computador contaminado e se propaga a todos os contatos de e-mail que consegue encontrar em vários tipos de arquivos guardados na máquina.

"Os diferentes 'sabores' do Netsky dominaram o cenário das pragas virtuais este ano e, apesar das semelhanças entre suas muitas variantes, os usuários de PCs ainda estão sendo enganados e contaminados pelos vírus", afirmou Graham Cluley, consultor sênior de tecnologia da Sophos, que recomenda que os usuários mantenham o antivírus atualizado e redobrem a atenção com anexos de e-mails.

"Parece inevitável o aparecimento de variantes futuras do Netsky, e agora que as variantes chegaram ao final do alfabeto, muitos questionam se o seu criador chamará a próxima versão de Netsky-AA", comenta Cluley. Detalhes (em inglês) sobre o Netsky-Z podem ser encontrados aqui.

Leia também:

Netsky foi o pior vírus de março

Nova versão do Netsky ataca sites P2P

Symantec eleva nível de risco do vírus Netsky.D

Vírus Netsky.C é considerado de alto risco

23/4/2004 - 6:46 Redação InfoGuerra

O protocolo TCP (protocolo de controle de transmissão, na sigla em inglês), um dos mais utilizados na Internet, possui uma grave falha de segurança. O anúncio foi feito esta semana e confirmado por importantes centros de pesquisa, como o CERT. A falha permite que um atacante insira dados danosos em conexões TCP ou as reinicie, podendo causar problemas do tipo DoS (negação de serviço) em transações e processos comerciais críticos, além de perda de conexão em porções da Internet.

A gravidade do problema está no fato de que não se deve a uma má programação ou defeitos relacionados a fornecedores específicos: a falha está em um protocolo padrão e fundamental, utilizado, em tese, por todos os desenvolvedores. Prova disso é que os protocolos DNS (que relaciona nomes de domínio a endereços IP), BGP (que permite a grupos de roteadores compartilharem informações de rota na Internet) e SSL (que criptografa os dados trocados entre dois computadores) também se mostraram vulneráveis à falha.

Um potencial ataque exploraria o fato de o protocolo TCP estabelecer uma "janela" que indica a quantidade de pacotes de dados que podem ser enviados por vez antes de qualquer autenticação. Conhecer essa janela permitiria a um atacante enviar um número preciso de pacotes maldosos que são automaticamente aceitos, gerando os efeitos danosos. Essa janela é diretamente proporcional à largura de banda.

Os principais alvos seriam provedores de acesso de banda larga e conexões permanentes, que se utilizam de roteadores para ligar suas redes próprias à Internet. Entre outros, Cisco e Juniper, dois dos principais fabricantes de roteadores, já confirmaram ser afetados pelo problema. Outros, incluindo NEC e Hitachi, afirmam que ainda estão estudando a situação.

O protocolo TCP é essencialmente inseguro e o problema já era conhecido há algum tempo, mas agora o pesquisador Paul Watson conseguiu analisar estatisticamente os valores envolvidos e criar uma demonstração prática ("proof of concept") do ataque. Os detalhes sobre a vulnerabilidade podem ser encontrados nos sites do National Infrastructure Security Co-Ordination Centre (NISCC) do Reino Unido e do US-CERT.

16/4/2004 - 0:00 Amaro Moraes e Silva Neto

Voltar ao índice de artigos

Perdimento de razão no ciberespaço II (os Projetos de Lei brasileiros)

Saiba a arguta Ledora ― ou o perspicaz Ledor ― que a absurdez da proporcionalidade das penas, que exerce um peculiar fascínio sobre os legisladores da América supra-equatorial, não se restringe apenas àquelas terras. A questão é pandêmica. É planetária.

No projeto de Lei nº 7.093/02, de Ivan Paixão, relativamente à multa imposta ao spammer, seu artigo 10º dispunha o seguinte:

Artigo 10 - As infrações aos preceitos desta lei, independente das sanções de natureza penal e reparação de danos que causarem, sujeitam o infrator à pena de multa de cem a dez mil reais por mensagem enviada, acrescida de um terço na reincidência.

Em se tomando o exemplo de um milhão de spams, nos moldes do projeto de Lei em questão, as multas variariam de R$ 100.000.000,00 a R$ 10.000.000.000,00. Sim, é isso mesmo: ¡de cem milhões a dez bilhões de reais!

Ao depois desse projeto de Lei, o senador Hélio Costa, aos 26 de agosto de 2003, apresentou o PL nº 367/03. Não cogitava sanções penais, mas impunha uma multa civil também incompatível com a realidade. De acordo com seu artigo 6º (1), os spammers “estão sujeitos a pena de multa no valor de quinhentos reais, acrescida de um terço, no caso de reincidência”. Nesse projeto de Lei não são consignadas penas de detenção ou reclusão.

Tomando-se em conta que um spammer “profissional” (aquele que envia, ao menos, um milhão de spams), vê-se que ele pode ser obrigado a pagar multas que superam a marca de seiscentos e sessenta milhões de Reais.

Provavelmente por achar excessivas as multas do projeto de Lei de Hélio Costa, aos 08 de setembro de 2003, o deputado federal Ronaldo Vasconcellos apresentou o PL nº 2.168/03. Neste projeto estão previstas duas hipóteses de punição: a) uma para o spammer que se utiliza de emailling lists de terceiros, sem sua autorização (artigo 4º) (2), e b) outra para quem pratica o spamming através de bancos de dados próprios, mesmo que formados ou adquiridos legalmente (artigo 5º) (3).

Na primeira hipótese, além da pena de detenção de seis meses a dois anos, o spammer poderá sofrer uma multa de “até quinhentos Reais, por mensagem enviada”. O que significa uma multa de até quinhentos milhões, caso envie um milhão de spams (o que não é incomum).

Contudo, a pena de detenção proposta nos parece razoável, haja vista que enquadra o spamming como crime de pequeno potencial ofensivo, o que permite uma pena alternativa à prisional.

Já quando se trata da segunda hipótese, a mais freqüente (quando o spammer se vale de uma emailling list formada por ele ou por ele adquirida ilegalmente), a pena que é apenas de multa, pode ultrapassar os duzentos e sessenta milhões de reais, nos casos de reincidência.

Mesmo sendo menos penalizante em relação ao spamming, como os apresentados por seus pares, esse PL também é inexeqüível.

Mas se o deputado Vasconcellos entendeu que a multa do PL nº 367 era excessiva (como se as de seu PL não o fossem), o deputado Chico da Princesa (PL/PR), aos 05 de novembro de 2003 apresentou um novo projeto de Lei, o de nº 2.423/03, propondo multas mais severas.

No artigo 5º, § único, desse projeto de Lei é proposta uma multa de até R$ 1.066,66 para cada spam enviado, o que implica que a multa para um spammer “profissional” pode superar a cifra de um bilhão e seiscentos mil reais.

Como o projeto que o inspirou, ele propõe duas punições aos spammers: uma para quem envia spams com arquivos ou comandos maliciosos, outro para quem promove o spamming sem malícia (4) (isto é, sem enviar cookies ou spywares, por exemplo, em suas mal-vindas mensagens).

Na primeira hipótese (artigo 5º, caput), além da pena de reclusão de até quatro anos, o spammer deverá arcar com uma multa; já na segunda (artigo 5º, § único), aplicável ao spammer comum, a multa pode superar o quantum de um bilhão e seiscentos milhões de Reais.

Por fim, surgiram os PLs nºs 21/04 e 36/04, do Senado, onde a punição é despropositada. Caso o spammer se valha de meios que impeçam ou dificultem sua identificação, a pena é de um a cinco anos de reclusão (5), além da multa de R$ 500,00 por spam enviado.

Notas:


(1) Artigo. 6º. Os infratores da presente Lei estão sujeitos a pena de multa no valor de quinhentos reais, acrescida de um terço, no caso de reincidência. (voltar para o texto)

(2) Artigo 4º Constitui crime, punido com detenção de seis meses a dois anos e multa de até quinhentos reais por mensagem enviada, a utilização não autorizada de endereços de terceiros para o envio de mensagens. (voltar para o texto)

(3) Artigo 5º As infrações no envio de mensagem não solicitada sujeitarão o infrator à pena de multa de até duzentos reais por mensagem enviada, acrescida de um terço na reincidência. (voltar para o texto)

(4) § único do artigo 5º - As infrações aos demais preceitos desta lei sujeitarão o infrator à pena de multa de até oitocentos reais por mensagem enviada, acrescida de um terço na reincidência. (voltar para o texto)

(5) Artigo 6º do PL nº 21/04 - Usar meios que impeçam ou dificultem a identificação do remetente ou o bloqueio automático de suas mensagens eletrônicas, aí incluídos a ocultação ou falseamento de informação que possibilite identificar a origem ou o roteamento da mensagem.
Pena - reclusão, de um a cinco anos, e multa.

§ único do artigo 5º do PL nº 36/04. Da fiança recolhida como resultado da prisão pelo crime previsto no caput deste artigo, vinte por cento destinar-se-ão a quem, em primeiro lugar, haja identificado o agente do crime e suprido informação suficiente para a sua identificação e indiciamento, montante que será considerado custas do processo.

FALSIDADE IDEOLÓGICA

Artigo 299 - Omitir, em documento público ou particular, declaração que dele devia constar, ou nele inserir ou fazer inserir declaração falsa ou diversa da que devia ser escrita, com o fim de prejudicar direito, criar obrigação ou alterar a verdade sobre fato juridicamente relevante:

Pena - reclusão, de 1 (um) a 5 (cinco) anos, e multa, se o documento é público, e reclusão de 1 (um) a 3 (três) anos, e multa, se o documento é particular.

§ único - Se o agente é funcionário público, e comete o crime prevalecendo-se do cargo, ou se a falsificação ou alteração é de assentamento de registro civil, aumenta-se a pena de sexta parte. (voltar para o texto)


Amaro Moraes e Silva Neto é advogado com dedicação especial às questões relativas ao Direito e à Tecnologia da Informação. Autor de artigos jurídicos e dos livros Privacidade na Internet, um Enfoque Jurídico (Edipro, 2001) e Emails Indesejados à Luz do Direito Brasileiro (Quartier Latin, 2002). É responsável pelo site www.advogado.com desde junho de 1996.

Voltar ao índice de artigos

15/4/2004 - 0:00 Amaro Moraes e Silva Neto

Voltar ao índice de artigos

Perdimento de razão no ciberespaço I (as leis da América Nortista)

Que as Leis da América supra-equatorial sempre marcaram pela absurdez, não é novidade. Em certos Estados (Oklahoma, por exemplo), uma cuspida num guarda pode resultar em prisão perpétua. É inacreditável, mas é verdade. Do mesmo modo que é verdadeira a ânsia das grandes gravadoras em processar crianças que desejam ouvir seus músicos prediletos.

Todavia nas questões relativas ao ciberespaço, confesso, legisladores os américo-nortistas superaram as absurdezas planetárias que tangenciam o direito.

Seu desejo por um maior apenamento ao spam foi tão emblemático que, em 2003, o Senado da California aprovou um projeto de lei antispamming tão duro que, certamente, mostrar-se-á tão ineficaz quanto o foi a pena de morte para os casos de roubo na Inglaterra no final do Século XV, a par de seus aspectos sensatos na luta contra o spamming (é mais eficiente que a Lei sancionada por Jorge Caminhante Bush).

De acordo com o referido projeto legislativo de autoria da senadora Debra Bowen, hoje Lei, os spammers estão sujeitos ao pagamento de uma multa de US$ 500.00 (em caso de boa-fé) a até US$ 1,500.00 (se for dolosa a ação do spammer), por spam enviado.

Todavia, através de cálculos elementares, constatamos que estamos a falar de cifras inalcançáveis.

Partindo do pressuposto que todo spammer que se preza já enviou, ao menos, um milhão de spams, chegamos ao astronômico quantum de US$ 500 milhões, a título de indenizações, em sendo aplicada a Lei californiana. Porém, se o spammer agir dolosamente, as indenizações podem alcançar os US$ um bilhão e meio, o que não permite a exeqüibilidade da medida legal.


Amaro Moraes e Silva Neto é advogado com dedicação especial às questões relativas ao Direito e à Tecnologia da Informação. Autor de artigos jurídicos e dos livros Privacidade na Internet, um Enfoque Jurídico (Edipro, 2001) e Emails Indesejados à Luz do Direito Brasileiro (Quartier Latin, 2002). É responsável pelo site www.advogado.com desde junho de 1996.

Voltar ao índice de artigos

14/4/2004 - 0:00 Amaro Moraes e Silva Neto

Voltar ao índice de artigos

O ciberespaço, o legislador brasileiro, as penas e as multas

A idealização do ciberespaço como algo assustador - e “proibido para menores” ― ficou patente desde os primeiros projetos de Lei no Brasil. Particularmente no PL nº 3.258/97, do deputado Osmânio Teixeira.

No artigo 2º, primeira parte, desse arquivado projeto de Lei, constava que constituía crime “divulgar através de redes de computadores, informações que promovam a violência”. A pena seria de detenção de um a quatro anos. Já no Mundo Real (sim, existe o Mundo Real), a pena prevista para a incitação pública da prática de crime (artigo 286, CP) é de 03 a 06 meses ou multa (1).

No artigo seguinte (3º) desse morto PL constava que “constitui crime divulgar informações que estimulem o uso de drogas ilegais” e lhe atribui pena de detenção de 01 (um) a 04 (quatro) anos. Ora... isso é apologia do crime (2), cuja pena máxima é de seis meses de detenção ― não quatro anos.

Os Legisladores brasileiros se esquecem que se trata de um Mundo só. ¡Não existem dois Mundos! Não há um outro Universo. Deste modo, neste recanto dimensional que foi destinado ao homo já não mais tão sapiens ― e onde fenomenicamente ele se diverte ―, as regras têm que ser unívocas e inequívocas; qual seja, as mesmas.

Quando, da virada dos séculos XV/XVI, ocasião em que a miséria grassava à solta na Inglaterra, o Rei de plantão entendeu, por bem, aplicar a pena de morte em casos de roubo, objetivando minorar os efeitos da criminalidade. Afinal... “¿quem se arriscaria à morte para roubar um pedaço de pão? Ninguém, definitivamente ninguém”, pensou o monarca. Todavia esse raciocínio estava errado, como impiedosamente a História comprovou na seqüência.

Thomas Morus, na apresentação de Utopia (LIVRO I), ao se referir a esses fatos, demonstrou cabalmente que a majoração da pena, ao contrário de coibir a prática de um crime menor, em verdade leva à perpetração de um crime maior que aquele objetivado originalmente pelo criminoso.

Naquela época, em vez de ser coibido o roubo pelo aumento do gravame penal, sucedeu-se um “efeito colateral” não previsto e inverso: os homicídios aumentaram em estrondosa proporção. E a razão era uma só: eliminar a vítima do roubo era o melhor a ser feito pelo ladrão (ladrão, a priori, e, a posteriori, homicida), haja vista que a pessoa roubada seria a potencial delatora da ocorrência. Deste modo, com o aumento da pena, puniu-se a sociedade, não o criminoso (que, por sua vez, é uma vítima social) (3). É ilusório pensar que um apenamento maior crie um terror maior e necessário medo de infringência, o que desestimularia a prática não social.

Como é constatado, por vezes, na ânsia de punir um determinado crime, o legislador tende a lhe atribuir um apenamento desproporcional e despropositado que mais acaba por motivar a prática de um delito mais sério que tenha o mesmo apenamento.

Nada vale a punição desproporcional para um ato cometido contra a sociedade. O enrijecer da punição mais se reflete contra a sociedade do que seu favor. Endurecer a punição causa mais malefícios sociais do que abrandá-la. Em síntese, como aconselha a História, as penas devem ser proporcionais ao mal causado, não à insana ânsia de punição incentivada pela imprensa, exigida pela uniforme massa e formalizada pelo legislador.

O spamming, nos moldes da legislação existente, é de ser punido ― como sempre propus. Mas como sempre também propus, que a punição tenha vez no campo do razoável, não no campo do “muito muitíssimo” que nada significa além dos territórios da mídia.

Sim, os spammers têm que ser punidos, mas dentro dos lógicos e justos critérios da proporcionalidade que autorizam o convívio social, não sob o impacto de uma comoção nacional onde as pessoas são incitadas a surrarem os carteiros que lhes trazem correspondências não solicitadas.

Num País como o Brasil, com tantas injustiças ― sociais, legislativas, econômicas e judiciais ―, o spam não pode ser considerado como crime de relevância ou hediondo, do mesmo modo que também não pode ser ignorado (como crime, de pequeno potencial ofensivo, mas crime, ou, quando menos, como contravenção). Puna-se o spamming, mas não se o exorcize.

Notas:

(1) INCITAÇÃO AO CRIME

artigo 286 - Incitar, publicamente, a prática de crime:
pena - detenção, de 3 (três) a 6 (seis) meses, ou multa. (voltar para o texto)

(2) APOLOGIA DE CRIME OU CRIMINOSO

artigo 287 - Fazer, publicamente, apologia de fato criminoso ou de autor de crime:
pena - detenção, de 3 (três) a 6 (seis) meses, ou multa. (voltar para o texto)

(3) Não basta condenar o roubo. Se ele existe, por certo é contingência da necessidade existencial antes que um golpe a eventuais direitos. Afinal, excetuando-se o nascimento, o casamento e a herança, só existem três meios de se sobreviver num sistema capitalista: ou se trabalha (e se ganha algum dinheiro), ou se pede emprestado (dinheiro, bens ou benefícios) ou se rouba (dinheiro ou bens). (voltar para o texto)


Amaro Moraes e Silva Neto é advogado com dedicação especial às questões relativas ao Direito e à Tecnologia da Informação. Autor de artigos jurídicos e dos livros Privacidade na Internet, um Enfoque Jurídico (Edipro, 2001) e Emails Indesejados à Luz do Direito Brasileiro (Quartier Latin, 2002). É responsável pelo site www.advogado.com desde junho de 1996.

Voltar ao índice de artigos

13/4/2004 - 7:12 Giordani Rodrigues

Uma ação judicial inédita resolveu um impasse na Internet brasileira há poucos dias. Um blog satírico foi posto novamente "no ar" por força de um habeas corpus impetrado contra ato da titular da Delegacia de Repressão aos Crimes de Informática (DRCI) do Rio de Janeiro. A sentença favorável ao blog foi dada pela juíza Sirlei Abreu Biondi, da 21^a Vara Criminal do Rio de Janeiro, revertendo determinação da delegada Beatriz Senra, que no dia 2 de fevereiro deste ano expediu, por fax, um ofício aos responsáveis pelo site www.bangu1.com.br para que eles o retirassem do ar. No documento, a delegada atribuía aos responsáveis pelo blog os delitos de apologia ao crime e formação de bando ou quadrilha.

Bangu1.com.br é um domínio cadastrado no Registro.br em nome da empresa Webaholic Tecnologia Ltda, de São Paulo, dirigida por Derly Prado Junior. Junto com o webdesigner Diego Lopes Zambrano e o publicitário Lúcio Sanzana Batista, ambos do Rio de Janeiro, ele usa o domínio para publicar uma página humorística com a aparência de um blog mantido por supostos detentos do famoso presídio carioca de Bangu I.

Com pseudônimos como "Elias Eunuco" (um evidente trocadilho com o apelido do traficante Elias Maluco, principal acusado pela morte do jornalista Tim Lopes), "Ranca Toco" e "Paraíba Ninja", os presos de mentirinha atualizavam o blog como se estivessem dentro do presídio. A intenção do site seria satirizar e criticar o sistema carcerário do Rio e de outras partes do Brasil, alvo constante de denúncias de corrupção e regalias para presos, como telefones celulares, computadores e outros aparatos que permitem que criminosos comandem quadrilhas a partir de suas celas. Com visual caprichado e piadinhas politicamente incorretas, o blog Bangu1 já foi tema do caderno "Internet", do Jornal do Brasil, exatamente um ano antes de ter sido tirado do ar por ordem da delegada Beatriz Senra.

Após receber o ofício da DRCI, Derly Prado Junior e seus companheiros obedeceram à determinação policial, mas contrataram para sua defesa os advogados Omar Kaminski e Eduardo Miléo, do Paraná, e Ana Amélia de Castro Ferreira, do Rio. Os advogados elaboraram uma petição de habeas corpus com pedido de liminar, e anexaram no processo um CD-Rom com todo o conteúdo do site, já que as páginas tinham sido tiradas do ar.

Habeas corpus (HC), que em latim significa "tenha seu corpo", é uma figura jurídica descrita na Constituição Federal, invocada quando alguém sofre ou está ameaçado de sofrer violência ou coação em sua liberdade de locomoção, por ilegalidade ou abuso de poder. "Com um procedimento policial instaurado e condutas criminosas atribuídas pela delegada, nossos clientes foram ameaçados de sofrer coação em sua liberdade de locomoção", explica Kaminski. Em outras palavras, se o inquérito corresse, os responsáveis pelo blog poderiam ser processados ou mesmo presos por causa de um site humorístico.

O HC serviria para trancar esse inquérito. Porém, como não havia inquérito e sim um procedimento preliminar, a juíza não determinou o trancamento, mas acabou por liberar a volta do site. "O caso cria um precedente para o uso do habeas corpus também em questões ligadas à Internet”, opina Kaminski.

Há pouco mais de um ano, a advogada mineira Laine de Souza já havia pedido habeas corpus contra o provedor AOL, alegando que os programas e serviços da empresa a impediam de se locomover livremente pelo ciberespaço, pois limitavam o acesso a determinadas páginas. O juiz que analisou o caso, no entanto, não acatou o pedido.

Ronda virtual

Antes de proferir sua sentença, a juíza Sirlei Biondi recebeu da delegada um documento, requerido pelo juiz substituto, com informações sobre os procedimentos tomados em relação ao site e as razões da ação policial. No documento, Beatriz Senra explica que a DRCI "efetua um serviço de ronda virtual" como forma de combater a criminalidade na Internet, e foi num destes momentos que os agentes se depararam com o site bangu1.com.br, "supostamente realizado por integrantes do presídio".

Apesar de o domínio estar registrado em nome de uma empresa legalmente estabelecida e o blog possuir seções como um histórico de postagens chamado "Memória do Cárcere", uma hilariante "Oração do Detento" e outras manifestações de humor, a delegada alegou que o site não deixava claro que se tratava de "uma 'brincadeira' de publicitários paulistas com um presídio do Rio de Janeiro" e por isso ordenou que a página fosse tirada do ar para verificação.

Seria o mesmo que "apreender papelotes com pó branco vendidos em uma barraquinha e que só posteriormente, com perícia, pode-se constatar ser talco", justificou a delegada. Em sua explicação, ela anexou cópia de uma mensagem encontrada no blog, segundo a qual "uma estudante de direito de nome Sharon questiona aos administradores do site se o mesmo é verdadeiro ou não e tem como resposta que o dinheiro compra tudo, inclusive, se pagasse bem ele colocaria até a Sharon Stone em bangu1".

A delegada cita ainda um relatório da Coordenadoria de Inteligência da Polícia Civil solicitando que a DRCI "apurasse o site bangu1 que estaria realizando apologia ao tráfico de drogas".

O processo foi então remetido ao Ministério Público do Rio de Janeiro, que se manifestou favoravelmente ao pedido dos responsáveis pelo site. O promotor Nilo Cairo Branta aponta que, no caso em questão, o crime de formação de quadrilha ou bando não está tipificado, porque requer a associação de mais de três pessoas. Da mesma forma, não se encontra no site apologia a crime, pois segundo a opinião dos juristas, a apologia não se confunde com "a simples manifestação de solidariedade, defesa ou apreciação favorável, ainda que veemente, não sendo punível mera opinião".

Tal trecho do parecer acaba se contrapondo a uma avaliação da delegada sobre o conteúdo do site. Beatriz Senra afirma, em sua explicação à juíza, que o blog é "no mínimo de péssimo gosto, uma vez que faz piada até com a execução do diretor de Bangu III, com a governadora Rosinha Matheus e eleva a figura do traficante Fernandinho Beira-Mar a de um pop star todo-poderoso". A promotoria cita ainda o artigo 5^o, inciso IX, da Constituição Federal, que prevê que "é livre a expressão da atividade intelectual, artística, científica e de comunicação independentemente de censura ou licença".

Classificando a ação policial como "um excesso de zelo", o promotor admitiu que a não instauração do inquérito "veio a tornar possível a ameaça ao direito de liberdade dos impetrantes, que bem agiram ao solicitar a concessão da ordem". A juíza não entrou no mérito da questão, mas acatou parcialmente o parecer do promotor e determinou que o site fosse restaurado à Internet. A íntegra da sentença pode ser vista aqui.

Leia também:

Juiz nega habeas corpus para garantir locomoção no ciberespaço

13/4/2004 - 1:24 Renato Ópice Blum e Juliana Canha Abrusio

O Brasil atravessa uma fase difícil quanto à prática de crimes eletrônicos. Por algumas vezes consecutivas lideramos o ranking dos países com o maior número de crackers (um tipo de hacker) do mundo. Recentemente, uma decisão judicial nacional inédita condenou um jovem a seis anos e cinco meses de reclusão por estelionato, cumulado com formação de quadrilha e crime contra sigilo de dados bancários. O primeiro decreto condenatório por crime eletrônico no Brasil foi proferido pela juíza da 3ª Vara da Justiça Federal de Campo Grande (MS), Janete Lima Miguel.

Uma decisão desta natureza e com este ineditismo é por demais importante eis que desperta discussão sobre o direito penal eletrônico e contribui para o enriquecimento e crescimento desta área do direito.

Tudo isso apenas vem confirmar que nossa legislação vigente pode ser aplicada aos crimes cibernéticos. O trâmite processual em si permanece o mesmo. Da mesma forma, permanecem os elementos que a Justiça buscará demonstrar ao longo da instrução penal: a certeza da autoria e elementos probatórios que comprovem que o ilícito efetivamente ocorreu, o que chamamos de materialidade delitiva. Uma vez demonstradas, portanto, a autoria e a materialidade, será possível processar o réu pelo crime cometido, seja este praticado por intermédio dos meios eletrônicos ou não.

Não obstante, é bom lembrar que há um importante Projeto de Lei em tramite no Congresso Nacional, o conhecido PL nº 84/99, que recentemente foi aprovado na Câmara dos Deputados e recebido pelo Senado Federal com nova numeração (PL nº 89/03). Esse projeto visa acrescentar nova redação para tipos penais já existentes em nosso sistema criminal. O PL nº 89/03 trará a previsão de condutas hoje não presentes em lei, tais como a disseminação de vírus, a invasão de sistemas e outros delitos relacionados aos meios eletrônicos.

Destaque-se, além disso, a lei 9.983 de 14.07.2000, a qual introduziu no Código Penal Brasileiro a figura qualificada do crime de divulgação de segredo (art. 153, §1º-A), cujo tipo prevê pena de detenção de um a quatro anos e multa para aquele que divulgar, sem justa causa, informações sigilosas ou reservadas, assim definidas em lei, contidas ou não nos sistemas de informações ou banco de dados da Administração Pública.

A lei 9.983/2000 introduziu, ainda, o que podemos chamar de “peculato eletrônico”, ao acrescentar no Código Penal os artigos 313-A e 313-B. A partir de então poderá ser punido o funcionário público que praticar a inserção de dados falsos em sistemas de informações (art. 313-A), para o qual a pena prevista é de reclusão de dois a doze anos e multa, bem como será punido o funcionário público que modificar ou alterar sistema de informações ou programa de informática sem autorização ou solicitação de autoridade competente (art. 313-B), sendo neste caso a pena de detenção de três meses a dois anos e multa.

Mais recentemente, pela lei nº 10.764 de 12.11.2003, alterou-se a redação do artigo 241 do Estatuto da Criança e do Adolescente, com o objetivo de ampliar a conduta delitiva conhecida como pedofilia também para a Internet. Agora, aquele que apresentar, produzir, vender, fornecer, divulgar ou publicar, por qualquer meio de comunicação, inclusive rede mundial de computadores ou Internet, fotografias ou imagens com pornografia ou cenas de sexo explícito envolvendo criança ou adolescente pode ser condenado a pena de reclusão de dois a seis anos, além de multa.

Não há dúvidas de que essa alteração na legislação brasileira, bem como a entrada em vigor do Projeto de Lei nº 89/03, fará com que a sociedade em geral, por intermédio de profissionais especializados, amplie o número de processos relacionados aos crimes pela Internet. A inédita decisão mencionada neste artigo abre as portas do direito eletrônico em sua aplicação prática. São os bits e bytes no "banco dos réus"!


Renato Opice Blum é advogado e economista, professor da Fundação Getúlio Vargas e presidente do Conselho de Comércio Eletrônico da Federação de Comércio de São Paulo.

Juliana Canha Abrusio é advogada e professora da Faculdade de Direito da Universidade Presbiteriana Mackenzie.

13/4/2004 - 0:00 Amaro Moraes e Silva Neto

Voltar ao índice de artigos

O terror que vem do ciberespaço

Os legisladores, como há muito pontuo, devem imaginar o ciberespaço como algo assustador, perverso, repleto de espectros e demônios que podem tomar nossa bítica alma. Para eles, nos mares da Internet toda enseada é perigosa, todo porto é temerário e toda onda é suspeita.

Pedófilos comendo bits de crianças.

Crackers demolindo instituições com lançadeiras de zeros e uns.

Prostitutas roubando suspiros com teclas.

Canibais soltos conquistando suas vítimas através de emails e chats.

Talvez os ponderados parlamentares de Brasília tenham razão e efetivamente o ciberespaço seja um lugar muitíssimo perigoso. Porém o ciberespaço é reflexo do Mundo Material, é uma sombra sua, é uma coisa que não tem vida própria. Portanto, os perigos que lá existem são aqueles mesmos perigos que cercam o dia a dia de todos inquilinos do Planeta. Não são diferentes; são iguais - isso quando não guardam riscos e proporções menores.

Em EMAILS INDESEJADOS À LUZ DO DIREITO, tentei demonstrar a desproporção ímpar entre as penalidades que têm vez no ciberespaço e as que têm vez no Mundo da Materialidade, o que não é admissível, uma vez que o que for crime na Região da Tridimensionalidade (conhecida desde nossos vovós das Cavernas), que igualmente o seja nesse inapontável Mundo onde está a Web (que só no final do Século XX veio incomodar os meios de acesso à cultura). Se não for assim, os internautas serão condenados a um cibernaufrágio nos mares da Justiça. Afinal a punição não pode ser distinta, vez que o que é crime na Web também é crime no Mundo Real - e, conseqüentemente, o que é crime no Mundo Real também é crime na Web.

Não sendo aceita essa premissa, por certo estará sendo proposto que Doctor Jeckyll and Mister Hyde se torne um paradigma no Direito Pátrio.

Se não existem CiberConstistuições, CiberCódigos ou CiberLeis, ¿como se falar em “ciberdireitos”?

“Ciberdireitos” não existem. Conseqüentemente, apenas os direitos devem prevalecer (com as penalidades que já foram objeto de deliberação para soluções passadas, mas atuais), eis que as prerrogativas no Mundo existencial têm o mesmo valor no espaço cibernético.


Amaro Moraes e Silva Neto é advogado com dedicação especial às questões relativas ao Direito e à Tecnologia da Informação. Autor de artigos jurídicos e dos livros Privacidade na Internet, um Enfoque Jurídico (Edipro, 2001) e Emails Indesejados à Luz do Direito Brasileiro (Quartier Latin, 2002). É responsável pelo site www.advogado.com desde junho de 1996.

Voltar ao índice de artigos

12/4/2004 - 0:00 Amaro Moraes e Silva Neto

Voltar ao índice de artigos

Propostas anti-spamming da sociedade civil

Não são apenas os legisladores que estão preocupados em regulamentar o uso comercial do correio eletrônico. Além dos PLs apontados, em diversos setores da sociedade civil destacam-se propostas de combate ao spamming.

No entanto, nem todos esses que dizem lutar contra o spamming, necessariamente, lutam contra o spamming. Existem movimentos antispamming patrocinados por associações ligadas ao marketing, ao telemarketing e ao emarketing. Apesar de dizerem lutar contra o spamming, em verdade desejam institucionalizá-lo, legalizá-lo.

As mais conhecidas iniciativas para, pretensamente, inibir o spamming foram a NRPOL (Norma de Referência da Privacidade OnLine da Fundação Vanzolini), o projeto de Lei de iniciativa popular da FECOMÉRCIO de São Paulo e, por fim, o Código de “Ética” antispam, lançado pelo Grupo Brasil antispam.

A primeira ― e mais antiga ― iniciativa foi tomada pela Fundação Carlos Alberto Vanzolini, ligada à Universidade de São Paulo, quando, em junho de 2000, elaborou um Código de Ética para a Internet que batizou como Norma de Referência da Privacidade OnLine (NRPOL).

A segunda iniciativa, o projeto de Lei de iniciativa popular da FECOMÉRCIO de São Paulo, é uma tentativa de ressuscitar o PL nº 6.210/02, do deputado Ivan Paixão.

A última proposta “civil” para combater o spam foi a criação do Código de “Ética” antispam, lançado aos 11 de novembro de 2003 por um comitê que se denomina Grupo Brasil antispam.

a) a NRPOL

A Norma de Referência da Privacidade OnLine da Fundação Vanzolini, objetiva disciplinar as relações que têm vez na Internet, através da modalidade de certificação. Como esclarecido resta por essa fundação, a NRPOL “foi elaborada para estabelecer uma referência comum, para a organização e usuários, visando o estabelecimento de boas práticas éticas para efetiva preservação da Privacidade OnLine”.

Seu verdadeiro objetivo era emprestar respeitabilidade aos websites que se submetessem às regras por ela propostas, outorgando-lhes uma certificação no sentido de assegurar aos webnautas que os visitassem que tais sites respeitam a privacidade de seus visitantes.

Porém, como é público e notório, suas propostas não surtiram efeito.

b) o projeto de Lei de iniciativa popular da FECOMÉRCIO

O projeto de Lei de iniciativa popular (PLIP) que estava em discussão na FECOMÉRCIO/SP, em 2003, pretendia ressuscitar o PL nº 6.210/02, de Ivan Paixão, mesmo seu autor tendo desistido dele e apresentado um substitutivo.

O PLIP da FECOMÉRCIO/SP em nada inovava. Preconizava a adoção do sistema opt-out simulado ao mesmo tempo que propunha multas divorciadas da realidade: R$ 2.400,00 (aproximadamente) por spam enviado. Isso a torna inexeqüível, haja vista que os spammers “profissionais” enviam mais que um milhão de spams a cada vez.

Como registra a História da Web e a de nossos Ministérios Públicos, sempre me insurgi contra o spam.

A princípio minha discussão chegou até mesmo a soar como bisonha; contudo o Tempo me desagravou. Hoje o spamming deixou de ser objeto de críticas de poucos para se tornar algo aterrador que deve ser punido com o mais extremado rigor. Contudo não é bem assim...

Por vezes, na ânsia de punir um determinado crime, o legislador tende a lhe atribuir um apenamento desproporcional e despropositado que mais acaba por motivar a prática de um delito mais sério que tenha o mesmo apenamento. Deste modo, em vez de se punir o delinqüente se pune a sociedade.

Já temos penalidades. Não há que se mercantizar a punição. Civilmente existem bases que garantem, com pragmatismo e moderação, o ressarcimento das vítimas dos spammers.

c) o Código de “Ética” antispam

O Grupo Brasil antispam é um “movimento civil” cujo objetivo é criar “regras éticas para as práticas de comunicação comercial via mensagens eletrônicas, em especial correio eletrônico, e no combate ao spam”. Nobre proposta.

Todavia essa nobre proposta não partiu das vítimas do spamming, mas de entidades que têm direto interesse em sua institucionalização. São empresas cujos objetivos são o marketing, o telemarketing e o emarketing.

No artigo 3º do Código de Ética antispam (CEAS), verifica-se, com solar clareza, seus verdadeiros propósitos: a legalização do spam. Transcrevo:

ARTIGO 3º. - “SPAM” - É A DESIGNAÇÃO PARA A ATIVIDADE DE ENVIO DE MENSAGENS ELETRÔNICAS E MALA DIRETA DIGITAL QUE NÃO POSSAM SER CONSIDERADAS NEM MARKETING ELETRÔNICO, NEM NEWSLETTER, E NAS QUAIS SE VERIFIQUE A SIMULTÂNEA OCORRÊNCIA DE PELO MENOS 2 (DUAS) DAS SEGUINTES SITUAÇÕES:

a) INEXISTÊNCIA DE IDENTIFICAÇÃO OU FALSA IDENTIFICAÇÃO DO REMETENTE;

b) AUSÊNCIA DE PRÉVIA AUTORIZAÇÃO (OPT-IN) DO DESTINATÁRIO;

c) INEXISTÊNCIA DA OPÇÃO “OPT-OUT”;

d) ABORDAGEM ENGANOSA - TEMA DO ASSUNTO DA MENSAGEM É DISTINTO DE SEU CONTEÚDO DE MODO A INDUZIR O DESTINATÁRIO EM ERRO DE ACIONAMENTO NA MENSAGEM;

e) AUSÊNCIA DA SIGLA NS NO CAMPO ASSUNTO, QUANDO A MENSAGEM NÃO HOUVER SIDO PREVIAMENTE SOLICITADA;

f) IMPOSSIBILIDADE DE IDENTIFICAÇÃO DE QUEM É DE FATO O REMETENTE;

g) ALTERAÇÃO DO REMETENTE OU DO ASSUNTO EM MENSAGENS DE CONTEÚDO SEMELHANTE E ENVIADAS AO MESMO DESTINATÁRIO COM INTERVALOS INFERIORES A 10 (DEZ) DIAS.

Como se constata, de acordo com esse Código de “Ética”, os spammers poderão enviar mensagens sem autorização dos destinatários ou sem a opção opt-out ou induzi-los em erro ou ocultarem (ou falsificarem) sua identidade, desde que coloquem a “sigla NS (Não Solicitado) no campo Assunto (subject), quando a mensagem não houver sido previamente solicitada”... Não é admissível, sob as luzes da ética, da lógica ou do direito, mas é o que consta no artigo 3º do CEAS.

Mais: caso o spammer mude o assunto do email (passados dez dias) e mesmo ignore que não foi autorizado pelo destinatário, ele agirá “eticamente” desde que coloque a “sigla NS no campo Assunto, quando a mensagem não houver sido previamente solicitada”...

Ora... pedir que empresas interessadas no emarketing (gratuito para elas spammers e oneroso para suas vítimas destinatárias) elaborem suas regras é o mesmo que pedir a alcatéia para determinar como os lobos devem se portar em relação às galinhas...


Amaro Moraes e Silva Neto é advogado com dedicação especial às questões relativas ao Direito e à Tecnologia da Informação. Autor de artigos jurídicos e dos livros Privacidade na Internet, um Enfoque Jurídico (Edipro, 2001) e Emails Indesejados à Luz do Direito Brasileiro (Quartier Latin, 2002). É responsável pelo site www.advogado.com desde junho de 1996.

Voltar ao índice de artigos

9/4/2004 - 0:00 Amaro Moraes e Silva Neto

Voltar ao índice de artigos

No legislativo nada se cria, tudo se copia

A falta de decoro parlamentar do deputado Chico da Princesa (cujo PL nº 2.423/03 é escancarada cópia do PL nº 2.186/03, do deputado Ronaldo Vasconcellos) não é caso raro. O PL nº 36, do Senado, de autoria do Senador Antonio Carlos Valadares (PSB/SE), apresentado aos 10 de março de 2004, comprova isso.

8/4/2004 - 5:05 Renata Cicilini Teixeira

A data de aniversário do spam parece ser o dia 5 de março de 1994, como foi “comemorado” em artigo recente publicado pela Netcraft.

No entanto, o dia 12 de abril também é lembrado como o aniversário do spam, pois foi o primeiro registro do envio em massa de e-mails de propaganda não solicitados. A mesma mensagem enviada no dia 5 de março, foi novamente repassada a todos os newsgroups da USENET, no dia 12 de abril de 1994. Brad Templeton conta essa história no artigo “Origin of the term spam to mean net abuse. As mensagens históricas podem ser vistas no Archive.org.

A dúvida então é se o spam é do signo de Peixes (05 de Março) ou de Áries (12 de Abril). Por outro lado, o que não temos dúvida é que estamos comemorando a triste marca de 10 anos de spam. O spam entra na pré-adolescência, firmando-se como garoto-problema, sendo o pivô da crise do e-mail, tanto que estamos ouvindo a pergunta: será mesmo o fim do e-mail?

Claro que não! Alguém acredita que a humanidade possa dispor de uma ferramenta tão poderosa quanto esta? Estamos presenciando uma mudança na maneira como enxergávamos e utilizávamos o e-mail. Neste momento, me recordo das palavras do professor Paulo Lício de Geus que diz: “No início, a Internet era só de mocinhos, depois...” Bem, o “depois” nós conhecemos e vivemos atualmente: uma Internet assolada por spams, vírus, fraudes, golpes, ataques de vários tipos.

Quanto ao spam propriamente dito, temos uma trajetória interessante a analisar nesta década. O primeiro spam foi uma propaganda. Depois vieram as correntes e os boatos.
Com o tempo, o spam passou a propagar vírus, ou será que os vírus é que pegaram carona nos spams? Quem surgiu primeiro: o ovo ou a galinha? Não importa, o que importa é que existe omelete!

Continuando, o spam se tornou peça fundamental nos golpes praticados na Internet. Desde os golpes da Nigéria, que já existiam fora da Internet e migraram para a rede propagados através de spam, até os tipos mais recentes de golpes, conhecidos como phishing scams, pois “pescam” dados pessoais e sigilosos de consumidores, correntistas de bancos e usuários de cartões de crédito, por exemplo.

Para complementar, o spam chegou aos telefones celulares, aos blogs e aos Instant Messengers. Devido à freqüência deste último, ele já ganhou nome próprio, tendo sido batizado como SPIM (spam via Instant Messenger).

Enfim, após uma década de spam, está difícil acreditar em Bill Gates, quando ele diz que em 2006 nós estaremos livre desta praga. É mais viável acreditar que estamos aprendendo a sobreviver ao spam e que cada vez mais estaremos prontos para combatê-lo. A receita perfeita ainda não é conhecida, mas alguns dos ingredientes sim:

- O uso de filtros, do ponto de vista técnico e prático;

- A reformulação e adequação do SMTP, como uma solução técnica a médio e longo prazo;

- A elaboração, aprovação e correta aplicação de leis específicas e que realmente coíbam o spam;

- A conscientização e educação do usuário, considerando a importante influência do lado comportamental na propagação de spam;

- A implantação e o cumprimento de Políticas de Uso Aceitável e Políticas de Segurança que sejam de fato anti-spam, contando com uma atuação marcante e responsável de provedores de acesso e demais empresas envolvidas com a Internet.


Renata Cicilini Teixeira é consultora em segurança da informação. Bacharel e mestre em Ciências da Computação pelo Instituto de Ciências Matemáticas e de Computação (ICMC), da USP de São Carlos. GCIH (GIAC Certified Incident Handling) e Auditora Líder em BS 7799.

8/4/2004 - 0:00 Amaro Moraes e Silva Neto

Voltar ao índice de artigos

O primeiro PL federal brasileiro a adotar o sistema opt-in

O PL nº 21, apresentado pelo senador Duciomar Costa (PTB/PA), aos 02 de março de 2004, reforça minha velha convicção de que quem legisla sobre Internet, ou não sabe o que é Internet ou não sabe o que é direito; muitas vezes não sabe nem uma coisa nem outra.

O projeto de Lei em questão comporta vícios diversos, a começar pelo adotado figurino legislativo américo-nortista, onde sempre as Leis, em seu preâmbulo, fazem a apresentação conceitual ― o que não é de nosso hábito. Mas isso até poderia ser sublimado.

No que diz respeito à Internet, a questão se torna mais grave.

Nos incisos II e III, do artigo 2º, desse projeto de Lei, consta que mensagem eletrônica (comercial ou não) é aquela “enviada a partir de computadores instalados no País”. Deste modo assegurou-se ao spammer o direito de continuar com sua inaceitável conduta. Caso um grupo europeu com negócios no Brasil, por exemplo, resolva infernizar os internautas brasileiros a partir de sua matriz, na Europa, ele poderá infernizá-los ― e legalmente, vez que seus computadores não estão “instalados no País”. E essas benesses não se estendem apenas a grandes corporações. Qualquer internauta interessado encontra na rede diversos servidores no Exterior para enviar suas mensagens.

Em seu artigo 4º, inciso I, consta que o spammer “é obrigado a apresentar, de forma clara e compreensível, em cada mensagem que enviar (...), seu endereço de IP (Protocolo de Internet) ou equivalente (...)”. Ora... Ora... essa determinação é inócua, haja vista que o IP É PARTE INTEGRANTE de qualquer mensagem eletrônica ― e consta de seu cabeçalho. Mesmo sendo mudado a cada vez que o usuário se conecta à rede, pode ser identificado através de uma perícia. Tais fatos revelam que o ilustre senador não faz idéia do que está discutindo.

Além disso, consta na justificativa de seu PL que, “os prejuízos causados pelo spam em escala mundial são calculados na casa de dezenas de bilhões, ou mesmo trilhões de dólares” (1). Desconheço as fontes onde possam estar consignados esses dados. Ao que me consta, os prejuízos causados anualmente, até o início de 2004, não passavam da casa do vinte bilhões de dólares.

Quanto aos conhecimentos jurídicos do altiloqüente representante do Pará no Senado, esses estão defasados no Tempo, como fica positivado em sua justificativa quando ele se refere ao vetusto e derrogado Código Civil de 1916, citando seu artigo 159 (2). Transcrevo:

No Brasil, atualmente, os detentores de caixas postais eletrônicas contam apenas com a proteção assegurada pelo art. 36 do código de defesa do consumidor ― que veda o disfarce do propósito comercial de qualquer propaganda ―, e pelo art. 159 do código civil ― que determina sejam indenizados os danos morais e materiais indevidos, nos quais se enquadram aqueles eventualmente produzidos por uma avalanche de spam.

Essa exótica proposta legislativa, em tese, guardaria um aspecto positivo: a adoção do sistema opt-in. Todavia se trata de um “opt-in virtual”, haja vista que, se o spammer se valer de um provedor do Exterior, poderá enviar quantos spams desejar, a quem lhe aprouver e quantas vezes o agradar.

Como bem pontuou Omar Kaminski, “o senador Duciomar Costa (...) decidiu pelo caminho da inovação, criando a figura do destinatário ‘consenciente’ e oferecendo uma polêmica ‘recompensa’ pelo auxílio na identificação dos spammers que impedem ou dificultam sua localização” (3).

E aqui me detenho, objetivando poupar a Leitora ― ou o Leitor ― de mais impertinências jurídicas.


Notas:

(1) “A Câmara Americana de Comércio e a União Européia estimam o custo do problema em US$ 11,5 bilhões anuais em termos de produtividade e tempo perdido, para as empresas norte-americanas e européias. E a Conferência das Nações Unidas sobre Comércio e Desenvolvimento estima que o impacto econômico mundial possa atingir os US$ 20 bilhões.” (cf in http://informatica.terra.com.br/interna/0,,OI263634-EI2403,00.html). (voltar para o texto)

(2) Certamente o parlamentar quis se referir ao vigente artigo 186 do Código Civil de 2002. (voltar para o texto)

(3) Vide em http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1078620558,36465,/. (voltar para o texto)

Amaro Moraes e Silva Neto é advogado com dedicação especial às questões relativas ao Direito e à Tecnologia da Informação. Autor de artigos jurídicos e dos livros Privacidade na Internet, um Enfoque Jurídico (Edipro, 2001) e Emails Indesejados à Luz do Direito Brasileiro (Quartier Latin, 2002). É responsável pelo site www.advogado.com desde junho de 1996.

Voltar ao índice de artigos

7/4/2004 - 20:47 André Fucs

Recentemente, conversando com um amigo veterano no mercado de segurança, deparei-me com o seguinte questionamento: “Diga-me quanto tenho de prejuízo e quanto custa sua solução para resolver meu problema! Só assim posso medir meu retorno".

O questionamento feito por meu amigo é, sem dúvida alguma, verdadeiro. Nunca se falou tanto em ROI (Return on Investment, ou Retorno sobre o Investimento) da segurança como nos dias de hoje e realmente o mercado de segurança demonstra que, ao adotar uma solução nova, compara custos e o provável retorno que a solução trará. O ROI certamente é uma ferramenta interessante, mas tem suas restrições. Talvez a maior delas seja o fato de que o ROI tem como pré-requisito a necessidade de que, pelos menos a principal ameaça, assim como a sua solução, seja conhecida. No caso de produtos em desenvolvimento, esse problema é facilmente resolvido através de uma análise de risco detalhada. Mas essa estratégia, quando aplicada no dia-a-dia de uma empresa, pode trazer resultados negativos ao gestor da segurança da informação. Preso à necessidade de justificar os prejuízos que podem ser causados por uma ameaça devidamente identificada, o gestor vê-se obrigado a convencer os demais gestores de que a ameaça realmente existe. O que nem sempre é possível.

Um exemplo claro desse problema ocorreu no mercado financeiro nos últimos anos. Apesar de amplamente conhecida pelo mercado de segurança, a probabilidade de envio de e-mails forjados foi considerada baixa e de pouco risco por diversos gestores. Houve até quem enviasse por e-mail o extrato do cliente em formato executável e “protegido” por senha (que naturalmente estava gravada no próprio programa!). A verdade é que não havia como prever com certeza que passados alguns anos, o descontrole viria a causar 100 milhões de reais em fraudes, segundo algumas estimativas. Mais impressionante ainda se pensarmos que as perdas ainda se estendem ao abandono do e-mail como canal de marketing e comunicação com o cliente, desgaste da marca, despesas jurídicas, entre outros prejuízos.

Falta ao mercado uma visão estratégica da segurança e, mais do que isso, informações capazes de sustentar esse planejamento estratégico, como índices e resultados dos incidentes de segurança. Se hoje o gestor de segurança age mais como um bombeiro, apagando focos de incêndio sem ser capaz de visualizar as chamas como um todo, o gestor de amanhã deve planejar como um empresário. Isto significa que, apesar de não ter acesso a todos os índices e incertezas do mercado, ele é capaz de tomar decisões com base na situação atual da empresa e no cenário ao seu redor.

Ainda em relação à situação atual de grande parte das empresas, pode-se afirmar que abundam no mercado modelos de segurança pontocom, ou seja, modelos capazes de proteger empresas cujos processos, diferenciais competitivos e recursos são maciçamente alocados em meios tecnológicos. Esses modelos de segurança, no entanto, não são capazes de oferecer às grandes corporações níveis de segurança adequados sem mudanças de larga escala, que exigiriam do gestor um enorme esforço para interferir em processos de negócio já estabelecidos, modificar e investir em novas tecnologias. Vemos então que não basta medir riscos, prejuízos e encontrar soluções com custo inferior à possibilidade de perda.

Resta ao gestor da segurança da informação buscar ferramentas capazes de situá-lo nos problemas de segurança do dia-a-dia da empresa da qual faz parte. Ferramentas essas que sustentariam não apenas uma simples tomada de decisão, mas o mapeamento estratégico de longo prazo, permitindo ao gestor da segurança da informação saber quais seus maiores problemas, sua localização e talvez o mais importante: saber para onde quer ir.


André Fucs de Miranda é gerente da Global Professional Services, empresa especializada na implantação de centros de segurança operacional corporativos.

7/4/2004 - 2:19 Giordani Rodrigues

Foi reportada uma nova técnica de phishing scam, capaz de elevar consideravelmente a eficiência de golpes pela Internet. O truque, descrito na última semana por sites como Anti-Phishing Working Group (APWG) e Netcraft, usa um javascript que detecta a versão do navegador do usuário e falsifica a barra de endereços do software, além de fornecer outros códigos forjados.

Phishing scam é o nome dado à técnica de ludibriar internautas por meio de falsas mensagens eletrônicas enviadas em massa. As mensagens contêm marcas comerciais, endereços de e-mail e links forjados, os quais aparentam proceder de bancos, operadoras de cartão de crédito ou qualquer outra empresa conhecida cujo nome possa ser usado para recolher dados financeiros e de identidade de clientes incautos. O grupo APWG estima que 5% das pessoas que recebem estas mensagens são ludibriadas, e a consultoria de segurança britânica mi2g garante que este tipo de golpe eletrônico cresceu 330% no último ano.

A nova técnica foi observada em uma falsa mensagem do Citibank, o alvo preferencial de phishing entre os bancos americanos. O e-mail se parecia com outros usados neste tipo de golpe. Trazia no campo do remetente o endereço support@citibank.com e o assunto "Verify your E-mail with Citibank" (Verifique seu e-mail junto ao Citibank). O corpo da mensagem, em formato HTML, trazia os argumentos de costume para convencer os clientes do banco a acessar uma página supostamente pertencente ao Citibank e nela cadastrar dados como o número do cartão bancário e o PIN (uma senha pessoal). O link mostrava o endereço https://web.da-us.citibank.com/signin/citifi/scripts/email_verify.jsp, mas na verdade estava direcionado a uma página clonada do banco, hospedada em um provedor na cidade de Dallas, no Texas, Estados Unidos. A diferença começava quando um cliente clicasse no falso link.

Ao fazer isso, em vez de observar o endereço da página hospedada no provedor texano, o cliente veria o mesmo endereço falso do Citibank mostrado na mensagem fraudulenta, incluindo o “s” de “seguro”, no trecho “https”. Isto porque a página trazia um javascript que detectava a versão do navegador do cliente, removia a barra de endereços real e a substituía por outra, com o endereço fajuto usado no golpe.

Segundo o APWG, a falsa barra de endereços não era estática e sim “um pedaço vivo de código javascript”, na qual era possível até mesmo digitar o endereço do banco (ou qualquer outro) e acessá-lo. Outra característica é que se o usuário clicasse com o botão direito do mouse na página e pedisse para exibir o código-fonte, este seria mostrado também de maneira forjada. Para acessar o código real da página, só usando o menu superior do navegador.

Aparentemente, o javascript malicioso poderia ser usado com vários navegadores, incluindo o Internet Explorer e o Netscape. Imagens e explicações detalhadas (em inglês) podem ser vistas aqui.

Segundo dados da Netcraft e do APWG, os ataques de phishing têm crescido tanto em quantidade de ocorrências quanto em sofisticação dos golpes. As estatísticas levantadas mostram que fevereiro (o último mês analisado) apresentou o maior número de casos, com 282 e-mails falsos detectados. Na terceira semana de fevereiro, já estavam sendo registrados 12 golpes diferentes por dia.

É bom lembrar que estes números se referem apenas aos casos registrados no exterior. No Brasil, a situação não é diferente, e embora não estejam disponíveis tantos detalhes percebe-se, no dia-a-dia, a grande quantidade de e-mails fraudulentos em nome de bancos e outras empresas. O NBSO (Grupo de Resposta a Incidentes para a Internet Brasileira) possui estatísticas de incidentes de segurança no Brasil, mostrando que a incidência deste tipo de fraude eletrônica no País dobrou em 2003 em relação ao ano anterior.

Leia também:

Relatos de ataques e golpes no Brasil dobraram em 2003

O que fazer ao receber um falso e-mail de banco?

Proteja-se de golpes atualizando seu browser

7/4/2004 - 0:00 Amaro Moraes e Silva Neto

Voltar ao índice de artigos

O sistema opt-in

No sistema opt-out puro, o internauta opta para sair, enquanto no sistema op-out simulado, ele opta para continuar a receber as mensagens. Porém ambos autorizam a invasão de nossas caixas postais eletrônicas pelos spammers, ao menos por uma vez ― o que é inadmissível, quer ética, quer juridicamente.

Contrariamente ao sistema opt-out, no sistema opt-in o usuário opta para entrar em um banco de dados para receber informações determinadas, em vez de optar para as não receber.

Nesse sistema o remetente de emails é convidado a entrar na caixa-postal eletrônica do destinatário, em vez de ser convidado para sair (como determina o sistema opt-out - puro ou simulado).

O sistema opt-out (ao depois de evidenciar que sua adoção foi tão eficiente no combate ao spam como uma aspirina o é para combater o câncer) teve sua morte decretada na California (EUAN), aos 22 de maio de 2003, quando o Senado daquele Estado aprovou um duro projeto de Lei contra as mensagens não solicitadas.

Posteriormente apresentado à Assembléia da California, tornou-se Lei, extirpando os malefícios decorrentes do sistema opt-out, onde o spammer pode continuar enviando mensagens até que o indignado destinatário manifeste seu desejo de não mais as receber.

Consoante as novas regras legais californianas, o spammer somente poderá mandar suas mensagens, desde que o destinatário opte por recebê-las. Caso inverso é crime com cominação de penas e multas de relevo ― e divorciadas da realidade sócio-jurídica.

A autora do referido projeto de Lei, a Senadora Debra Bowen, tinha e tem razão ao afirmar que “spam não é apenas um aborrecimento; ele consome tempo e dinheiro das pessoas ao forçá-las a apagar milhões de mensagens que praticamente nada custam aos spammers para enviar”. Seu projeto (hoje Lei), efetivamente, elimina as causas do spamming, apesar da excessiva punição pecuniária imposta ao spammer, como será visto na parte III, desse ensaio.

No Brasil existem curiosidades.... Num chamado “Guia de Boas Maneiras” da ABEMD (Associação Brasileira de Marketing Direto), por exemplo, em seu artigo 2º (http://www.abemd.org.br/boasmaneiras.htm) está ressaltado o seguinte:

Artigo 2º - Opt in. O primeiro recebimento é muito importante, porque marca o início da relação. É preciso ter permissão para prosseguir o relacionamento, por meio do opt in do receptor, tanto quando ele procura como quando é procurado.

Pena que não existe ação além da conceituação, haja vista que a ABEMD é signatária do Código de “Ética” antispam, do Grupo antispam Brasil (http://www.brasilantispam.org/), o qual defende o sistema opt-out. Lástima que não exista coerência entre a idéia e a proposta

Contudo, no Brasil, existem juristas sérios que defendem a adoção do verdadeiro sistema opt-in. Dentre esses se destaca o juiz pernambucano Demócrito Reinaldo Filho.

“O mais conveniente [sistema] para o usuário da rede é o do ‘opt-in’, pois não tem que desperdiçar tempo preenchendo uma mensagem como resposta à do remetente original. O tempo que medeia entre a resposta negativa do destinatário e seu efetivo cancelamento do banco de dados do remetente pode ser suficiente, dependendo do volume de informações que são transmitidas, para o recebimento indesejado de inúmeras outras mensagens. A tendência, na Europa, é da opção pelo sistema do ‘opt-in’. Recentemente, o Parlamento Europeu aceitou a proposição de uma diretiva que estabelece regras para a proteção de dados pessoais e privacidade no setor das comunicações eletrônicas. Nela é adotado o “opt-in” para os e-mails comerciais não solicitados, regra que se aplica também às short-messages e outras mensagens eletrônicas recebidas por terminais móveis e aparelhos celulares”. (1)


Notas:

(1) Vide O CAN-SPAM ACT - A LEI AMERICANA QUE PROÍBE O SPAM, do Juiz pernambucano Demócrito Reinaldo Filho, em http://www.webnewsexpress.com.br/clientes/infojus/noticia.php?id_noticia=1421&.. (voltar para o texto)


Amaro Moraes e Silva Neto é advogado com dedicação especial às questões relativas ao Direito e à Tecnologia da Informação. Autor de artigos jurídicos e dos livros Privacidade na Internet, um Enfoque Jurídico (Edipro, 2001) e Emails Indesejados à Luz do Direito Brasileiro (Quartier Latin, 2002). É responsável pelo site www.advogado.com desde junho de 1996.

Voltar ao índice de artigos

6/4/2004 - 0:00 Amaro Moraes e Silva Neto

Voltar ao índice de artigos

O sistema opt-out e as provas

Um aspecto crucial decorrente do sistema opt-out é a materialização da prova, a coisa mais importante que existe em qualquer procedimento judicial.

Quanto às provas, nos moldes do sistema opt-out proposto pelos três projetos de Lei federais aqui analisados, os cômodos vão para os spammers; enquanto os incômodos recaem sobre os internautas vítimas do spamming. Isso porque para ser provado que uma mensagem eletrônica não solicitada foi enviada por uma segunda vez, mister se faz que se prove, inicialmente, que ela já foi enviada anteriormente, bem como os arquivos de log dos computadores dos provedores de acesso do webmaster do spammer para demonstrar sua origem.

No entanto, manter toda essa documentação é trabalhoso e custoso para os destinatários do spamming, além de restringir a plena utilização de seu disco-rígido (a alma do computador pessoal), uma vez que incontáveis serão os spams a serem ali armazenados para eventual produção de prova em eventuais processos futuros.

É trabalhoso porque terá que ser organizado algum tipo de banco de dados para serem mantidos os spams recebidos a fim de se poder compará-los, futuramente, com outros emails recebidos e ser feito o cruzamento de informações para, por fim, ser sabido do se se trata de uma segunda mensagem ― ou não. ¡Ufa!

É custoso porque os destinatários da mensagem comercial indesejável terão que passar a dispensar uma boa parcela de suas atividades para a administração dos emails que nunca foram solicitados. Isso significa tempo ― e tempo, como há muito o disse Benjamin Franklin, significa dinheiro.

Finalmente deve ser consignado que a adoção do sistema opt-out implica em restrições às capacidades de utilização do computador pessoal do cibernauta, haja vista que cada vez seu disco rígido ficará mais e mais empanturrado com emails que ele nunca desejaria receber (muito menos guardar) e que deverão ser mantidos para eventual prova futura.

Uma outra opção para o destinatário de mensagens eletrônicas não solicitadas (isto é, todos nós) seria registrar todos os emails através da lavratura de atas notariais. Só que isso implica num custo superior a, pelo menos, cinqüenta vezes ao valor gasto em selos para a remessa de uma carta comercial ordinária.


Amaro Moraes e Silva Neto é advogado com dedicação especial às questões relativas ao Direito e à Tecnologia da Informação. Autor de artigos jurídicos e dos livros Privacidade na Internet, um Enfoque Jurídico (Edipro, 2001) e Emails Indesejados à Luz do Direito Brasileiro (Quartier Latin, 2002). É responsável pelo site www.advogado.com desde junho de 1996.

Voltar ao índice de artigos

5/4/2004 - 0:00 Amaro Moraes e Silva Neto

Voltar ao índice de artigos

O primeiro spam a gente nunca esquece

Caso o destinatário tenha mais de um email (o que é bastante comum na Internet), de acordo com os projetos de Lei analisados, poderão ser enviados spams para todos os seus endereços eletrônicos porque esses PLs mencionam a palavra “destinatário” e não “contas de correio eletrônico”. No projeto de Lei nº 7.093/02, do deputado Ivan Paixão havia mais sinceridade, se bem que, mais uma vez, na defesa do spamming.

Porém isso não é tudo. Ao admitir que são “mensagens eletrônicas de natureza comerciais aquelas que tenham como finalidade a divulgação de produtos, marcas e empresas ou endereços eletrônicos, ou a oferta de mercadorias ou serviços, a título oneroso ou não” (artigo 2º do PL do senador Hélio Costa) (1) necessariamente também tenho que admitir que um mesmo spammer pode enviar mais que uma mensagem, para a mesma vítima destinatária. Afinal, o primeiro spam poderá ser relativo a divulgação de produtos e o segundo pertinente a serviços. E isso não é tudo. Se não forem oferecidos serviços ou bens, os spammers poderão aborrecer quem bem quiserem e o quanto quiserem, oferecendo, por exemplo, um link para ser visitado ou o número de um telefone, como já alertava Lance Rose (2) em 1998.

Pondere que, consoante as propostas legislativas então em trâmite no Brasil, não havia qualquer impedimento para que o spammer enviasse quantas mensagens quisesse para um mesmo destinatário, desde que não oferecesse a venda de bens ou a prestação de serviços.

Ademais, uma vez só é muito em se considerando a proporção entre os spams e o correio eletrônico solicitado.

Em síntese, a eficácia dos resultados dos mecanismos de exclusão (sistema opt-out) propostos pelos PLs analisados é bastante questionável, para não dizer inócua.


Notas:

(1) No projeto de Lei nº 2.186/03, de autoria do deputado Nelson Vasconcellos, seu artigo 2º dispõe que “para os efeitos desta lei, considera-se mensagem não solicitada ("spam") qualquer mensagem eletrônica recebida por rede de computadores destinada ao uso do público, inclusive a Internet, sem consentimento prévio do destinatário”.

Por fim, no projeto de Lei nº 2.423/03, do deputado Chico da Princesa, seu artigo 2º dispõe que “considera-se mensagem eletrônica não solicitada ("spam"), para os efeitos desta lei, a mensagem eletrônica recebida por meio de rede de computadores, sem consentimento prévio do destinatário”.

Parafraseando Abelardo Barbosa (o Chacrinha): no Legislativo nada se cria, tudo se copia. (voltar para o texto)

(2) Cf. in http://nj.npri.org/nj98/07/spam.htm. (voltar para o texto)


Amaro Moraes e Silva Neto é advogado com dedicação especial às questões relativas ao Direito e à Tecnologia da Informação. Autor de artigos jurídicos e dos livros Privacidade na Internet, um Enfoque Jurídico (Edipro, 2001) e Emails Indesejados à Luz do Direito Brasileiro (Quartier Latin, 2002). É responsável pelo site www.advogado.com desde junho de 1996.

Voltar ao índice de artigos

2/4/2004 - 21:23 Amaro Moraes e Silva Neto

Voltar ao índice de artigos

O sistema opt-out simulado

Nos primeiros meses de 2004 tramitavam no Congresso Nacional cinco projetos de Lei relativos ao spamming . Três deles adotavam o sistema opt-out. São os de nºs 367/03, do senador Hélio Costa (apresentado aos 28 de agosto de 2003), 2.186/03, do deputado federal Ronaldo Vasconcellos (apresentado aos 08 de setembro de 2003) e 2.423/03, do deputado Chico da Princesa (apresentado aos 05 de novembro de 2003). Os últimos, os de nºs 21/04, do senador Duciomar Costa (apresentado aos 02 de março de 2004) e 36/04, do senador Antônio Carlos Valadares (apresentado aos 10 de março de 2004), adotavam um pretenso sistema opt-in.

O artigo 3º, do projeto de Lei do senador Hélio Costa, dispunha que:

Artigo 3º - As mensagens de que trata a presente Lei poderão ser enviadas uma única vez, proibida a repetição sem prévio e expresso consentimento do destinatário.

No projeto de Lei do deputado Ronaldo Vasconcellos, os incisos I e IV, de seu artigo 3º, determinavam que:

Artigo 3º - Será admitido o envio de mensagem não solicitada nas seguintes condições:

I - A mensagem poderá ser enviada uma única vez, sendo vedada a repetição, a qualquer título, sem o prévio consentimento do destinatário.

(...)

IV - Será oferecido um procedimento simples para que o destinatário opte por receber outras mensagens da mesma origem ou de teor similar.

Depois do projeto de Ronaldo Vasconcellos, seu colega Chico da Princesa (PL//PR) apresentou o PL nº 2.186/03, cujos incisos I e IV, de seu artigo 3º, transcrevo:

Artigo 3º - Toda mensagem eletrônica não solicitada deverá atender aos seguintes princípios:

I - A mensagem poderá ser enviada uma única vez, vedada a repetição a qualquer título sem o prévio consentimento do destinatário;

(...)

IV - Será oferecido um procedimento simples para que o destinatário declare aceitar o recebimento de outras mensagens do mesmo remetente.

A semelhança entre os dois últimos projetos é mais que gritante; trata-se de um evidente e descarado plágio legislativo, um clone legal, algo que fere o decoro parlamentar.

Porém esses três projetos de Lei guardam uma sutil evolução, um passo de pigmeu, consigno, em relação aos de autoria de Ivan Paixão, posto que, consoante as novas regras sugeridas, para continuar a enviar as mensagens, o spammer necessitará da autorização do destinatário da mensagem.

E assim surgiu o sistema opt-out simulado, que equivale àquele remate de muitos emails onde se lê: Esse email será enviado somente essa vez, como é ressaltado na primeira vez que ele é aberto, no dia seguinte e no outro e nos dias que vierem depois...

A institucionalização do sistema opt-out (puro ou simulado) implica em negar vigência ao artigo 5º, inciso X, da Constituição Federal, onde consta que “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas”.

Com o advento do Código Civil de 2002, essas prerrogativas foram reiteradas e reguladas, haja vista que seu artigo 21 dispõe que “a vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado, adotará as providências necessárias para impedir ou fazer cessar ato contrário a esta norma”.

O Código Civil, ao defender nossa privacidade, nossa intimidade, não diz que ela só é inviolável ao depois de uma segunda vez. E é evidente, afinal se nossa privacidade pudesse ser violada uma única vez, ¿como, então, se falar em inviolabilidade?

Confesso que não conheço nenhum ilícito (civil, contravencional ou penal) que só seja punido a partir da segunda vez. Tal aberração jurídica não pode ser tratada como projeto de Lei. Soa mais a uma desculpa sócio-legislativa.


Amaro Moraes e Silva Neto é advogado com dedicação especial às questões relativas ao Direito e à Tecnologia da Informação. Autor de artigos jurídicos e dos livros Privacidade na Internet, um Enfoque Jurídico (Edipro, 2001) e Emails Indesejados à Luz do Direito Brasileiro (Quartier Latin, 2002). É responsável pelo site www.advogado.com desde junho de 1996.

Voltar ao índice de artigos

1/4/2004 - 18:57 Redação

Usuários de software livre do Paraná estarão em festa neste final de semana. Três cidades do Estado ― Curitiba, Paranaguá e São José dos Pinhais ― promoverão pela primeira vez uma Install Fest simultaneamente. O evento, que ocorrerá no sábado, dia 03, reúne voluntários capacitados e pessoas interessadas em instalar gratuitamente software livre em seus computadores, como o sistema GNU/Linux e os aplicativos que geralmente o acompanham.

Em Paranaguá, cidade histórica no litoral do Paraná, a Install Fest está sendo organizada pelo Mar Redondo Grupo de Usuários Linux, criado recentemente por iniciativa do empresário Marcio Costa e do funcionário público Paulo Vitorino. O evento conta com o apoio do site InfoGuerra e do Instituto Superior do Litoral do Paraná (Isulpar) e será realizado das 14 às 20 horas na Isulpar, na avenida Coronel José Lobo, 800, no bairro da Costeira.

Na capital, Curitiba, o evento será conduzido pelo grupo de usuários Gnu/Linux Cgnu-Paraná, que nasceu no ano passado com o objetivo de conduzir a primeira Install Fest da cidade. Sob a coordenação de Giancarlo Razzolini e Breno Moiana, o evento será realizado das 8 às 20 horas, na Secretaria Estadual de Assuntos Estratégicos (SEAE), na rua Deputado Mário de Barros, 1.556, no Centro Cívico. A segunda Install Fest de Curitiba conta com o apoio e a participação de Djalma Valois, um dos criadores do Comitê para Incentivo à Produção do Software GNU e Alternativo (CIPSGA) e personalidade respeitada na comunidade de software livre nacional.

Em São José dos Pinhais, cidade da Região Metropolitana de Curitiba, o evento está sendo organizado pelo Grupo de Usuários GNU/Linux de São José dos Pinhais (GULSJP) e será realizado das 9 às 16 horas. Criado em outubro do ano passado, por iniciativa de 2 instrutores de informática, Willian Jhonnes dos Santos e Deivis Diones Moreno, o GULSJP conta hoje com 26 integrantes, desde iniciantes até administradores de sistemas. O evento terá o apoio da Opet Work Treinamento em Informática, em cujas dependências será realizada a Install Fest. A Opet fica na Av. Rui Barbosa, 9244, no centro de São José dos Pinhais.

Para participar de uma Install Fest, o interessado deve levar a CPU do seu micro, o teclado e o mouse, além dos CDs de instalação dos equipamentos ou um manual ou folha de papel com informações sobre os hardware. Quem quiser apenas observar também está convidado. Paralelamente aos eventos, estarão ocorrendo discussões sobre software livre, sua filosofia, seus aplicativos, vantagens e desvantagens. Os profissionais disponíveis para instalação dos sistemas também estarão resolvendo pequenas dúvidas quanto a operação e instalação de software livre.

Os três eventos contam com o apoio do Movimento Software Livre Paraná, do governo do Estado, da SEAE e da Companhia de Informática do Paraná (Celepar). Outras informações e inscrições gratuitas podem ser obtidas na página www.softwarelivreparana.org.br/installfest.

1/4/2004 - 14:11 Giordani Rodrigues

Os relatórios de empresas antivírus divulgados hoje mostram que o vírus Netsky, em suas diferentes versões, ocupou as primeiras posições nas listas de vírus mais ativos do mês de março. Segundo o relatório da Sophos, as variantes do Netsky foram responsáveis por praticamente 60% de todas as ocorrências com códigos maléficos no mês que passou.

Na lista da Panda Software, o Netsky também ocupou os primeiros lugares, embora com números menos significativos. De acordo com a empresa espanhola, as variantes D e B ficaram em primeiro e segundo lugares respectivamente e, juntas, foram responsáveis por cerca de 25% das infecções por vírus de computador em março. Já a Sophos afirma que o Netsky.D, isoladamente, provocou 30,2% dos incidentes, e foi o vírus mais ativo dos últimos 30 dias.

O que mais chama a atenção na lista do 10 piores vírus da Sophos é que toda ela é composta pelas variantes de apenas três pragas: Netsky, Bagle e MyDoom. "Os criadores das pragas Netsky e Bagle passaram o mês de março travando uma batalha pela supremacia na criação de vírus, lançando novas variantes como num jogo de pega-pega," afirmou Carole Theriault, consultora de segurança da Sophos. "O criador do Netsky recebe o título ambíguo de vencedor do vírus do mês, cuja incidência representou quase 60% de todos os relatos recebidos pela Sophos, mas os maiores perdedores são os internautas inocentes que estão no meio de um fogo cruzado entre os vírus Netsky e Bagle", conclui.

As variantes destes três vírus também dominam a lista da Panda, mas dividem espaço com outros códigos mais antigos, como Nachi e Bugbear, que se aproveitam de vulnerabilidades conhecidas para se instalar automaticamente nos equipamentos. Segundo a Panda, isto indica que muitos usuários continuam negligenciando a instalação dos patches (correções) necessários para solucionar as brechas de segurança de seus sistemas.

Veja abaixo os relatórios das duas empresas:

Fonte: Sophos

Fonte: Panda Software

1/4/2004 - 0:00 Amaro Moraes e Silva Neto

Voltar ao índice de artigos

Os primeiros Projetos de Lei exclusivamente anti-spamming do Brasil

O primeiro projeto de Lei dedicado, única e exclusivamente, ao spam foi o PL nº 6.210/2002 (1), apresentado aos 05 de março de 2002, pelo então deputado federal Ivan Paixão (PPS/SE) (2).

O inciso IV, do artigo 3º, consignava que:

Artigo 3º - Toda mensagem eletrônica não solicitada deverá atender aos seguintes princípios:

(...)

iv - Será oferecido um procedimento simples para que o destinatário opte pelo não recebimento de outras mensagens do mesmo remetente.

Nitidamente o ex-deputado sergipano se deixou envolver pelo canto das legiferantes sereias de bíticos encantos de Nevada e ante elas sucumbiu, como ressalta o transcrito inciso IV. Se seu PL tivesse sido aprovado, certamente a comunidade internáutica acabaria se afogando no maremoto de spams por ele autorizado, posto que o sistema opt-out é um colete salva-vidas recheado com chumbo e pedras, unilateralmente imposto aos internautas que desejam segurança durante suas navegações nos mares da Web.

Passado algum tempo, insatisfeito com seu projeto de Lei original, Ivan Paixão o reformulou, reapresentando-o, com nova roupagem, aos 6 de agosto de 2002. Assim, ele é o autor dos dois primeiros PLs anti-spam do Brasil.

Nesse novo PL (que recebeu o nº 7.093/2002), o artigo 5º, III, § 1º, sacramentava o seguinte:

Artigo 5º - Para iniciar a transmissão de uma mensagem eletrônica comercial a um computador protegido, tal mensagem deve conter, de maneira clara e evidente, para o receptor:

(...)

iii - Aviso ao receptor sobre a oportunidade de recusa a receber mais mensagens eletrônicas comerciais do remetente.

(...)

§ 1º - O remetente de uma mensagem eletrônica comercial não solicitada deve manter um endereço eletrônico em funcionamento, através do qual o receptor possa manifestar a recusa de não mais receber mensagens.

Como se vê, o encantamento das alienígenas e legiferantes sereias se mostrou definitivo, vez que as regras para o internauta não ser molestado aumentaram ― mas tão só no volume das palavras, não em sua eficácia.

Posteriormente esse projeto de Lei foi apensado ao PL nº 4.906/01, que trata do comércio eletrônico.


Notas:

(1) Tive oportunidade de comentá-lo, ponto por ponto, em EMAILS INDESEJADOS À LUZ DO DIREITO, editado pela Quartier Latin, São Paulo, 2002, às fls. 189 usque 195. (voltar para o texto)

(2) Presentemente esse projeto de Lei (que foi assimilado pelo PL nº 2.186/03) é objeto de ressurreição por parte da FECOMÉRCIO/SP. (voltar para o texto)

(3) No projeto de Lei nº 2.186/03, de autoria do deputado Nelson Vasconcellos, seu artigo 2º dispõe que “para os efeitos desta lei, considera-se mensagem não solicitada ("spam") qualquer mensagem eletrônica recebida por rede de computadores destinada ao uso do público, inclusive a Internet, sem consentimento prévio do destinatário”.

Por fim, no projeto de Lei nº 2.423/03, do deputado Chico da Princesa, seu artigo 2º dispõe que “considera-se mensagem eletrônica não solicitada ("spam"), para os efeitos desta lei, a mensagem eletrônica recebida por meio de rede de computadores, sem consentimento prévio do destinatário”.

Parafraseando Abelardo Barbosa (o Chacrinha): no Legislativo nada se cria, tudo se copia.(voltar para o texto)

(4) Cf. in http://nj.npri.org/nj98/07/spam.htm. (voltar para o texto)


Amaro Moraes e Silva Neto é advogado com dedicação especial às questões relativas ao Direito e à Tecnologia da Informação. Autor de artigos jurídicos e dos livros Privacidade na Internet, um Enfoque Jurídico (Edipro, 2001) e Emails Indesejados à Luz do Direito Brasileiro (Quartier Latin, 2002). É responsável pelo site www.advogado.com desde junho de 1996.

Voltar ao índice de artigos