Acabou a choradeira: Câmara aprova projetos contra cibercrimes

[Anchises Moraes]

Poizé, agora não tem mais choro nem vela: a Câmara aprovou os dois projetos contra cibercrimes (o PL Azeredo e a Lei Carolina Dieckman) e agora os 2 vão para sansão da tia Dilma.

http://blogs.estadao.com.br/link/camara-aprova-projetos-contra-crimes-ciberneticos/

[]s
Anchises

[Aylons Hazzud]

Pelo contrário: o choro começa agora.

2012/11/7 Anchises Moraes <anchi...@gmail.com>

Anchises

--
.--. .- .-. .- .--. --- ... - .- .-. . ... -.-. .-. . ...- .- .--. .- .-. .- .... .- -.-. -.- . .-. ... .--. .- -.-. . ... .--. .- - --. --- --- --. .-.. . --. .-. --- ..- .--. ... -.. --- - -.-. --- --
Nachschlagewerk (Regras da Lista): http://garoa.net.br/wiki/Lista:LeiaAntesDeClicarNoSend
Como se Associar: http://garoa.net.br/wiki/Associados
Sobre as Contribuições: http://garoa.net.br/wiki/Contribuições
Para mais informações sobre o Garoa Hacker Clube acesse http://garoa.net.br
Maiores opções sobre o Google Groups, visite: http://groups.google.com/group/hackerspacesp
.--. .- .-. .- -- .- .. ... .. -. ..-. --- .-. -- .- . ... .- -.-. . ... ... . --- .-- .. -.- ..
Epoch 0 <=> Fundação: 1298244863 s ~ 2.408064*10^52 tP (tempos de Planck)

[Leonardo G. T. dos Santos]

Eu tentei navegar no site da camara mas não consegui o texto final aprovado. Alguém que tenha pratica naquele site pode enviar um link? 

[Subnet Martins]

Mesmo com o link, não será tão simples. Boa sorte :)

PL 2793 2011

http://www.camara.gov.br/proposicoesWeb/fichadetramitacao?idProposicao=529011 

EMS 84/1999 => PL 84/1999

http://www.camara.gov.br/proposicoesWeb/fichadetramitacao?idProposicao=405461 

GM.

[Subnet Martins]

Em tempo: Valeria uma discussão sobre as mesmas ?? :D

[Anchises Moraes]

Podemos discutir a vontade, ad infinitum. Mas, como o projeto recebeu a última aprovação do congresso, ninguém mais pode mudar nada. Na verdade,a Dilma até pode vetar algum parágrafo ou o projeto inteiro, mas o que ela aprovar vira lei na mesma hora.

2012/11/7 Subnet Martins <subn...@gmail.com>

Em tempo: Valeria uma discussão sobre as mesmas ?? :D

--

[Aleph]

2012/11/7 Anchises Moraes <anchi...@gmail.com>:

> Podemos discutir a vontade, ad infinitum. Mas, como o projeto recebeu a
> última aprovação do congresso, ninguém mais pode mudar nada. Na verdade,a
> Dilma até pode vetar algum parágrafo ou o projeto inteiro, mas o que ela
> aprovar vira lei na mesma hora.
>

Yah ;-/(

[&]s++;

A.

--
PGP Key ID: 232D3D06

“Security is an illusion. Paranoia is our profession."-- Strategic Air command.
-. .. ... - -- .. -. ...- . -. - .. - .-
"The magic words are squeamish ossifrage" --Martin Gardner
- .... . -... . ... - .-- .- -.-- - --- .---
"The best way to predict the future is to invent it." --Alan Kay
-.. .- -. -.- .- -.--.. .. -.-. --. .. ... -
"Chance favors the prepared mind." --Louis Pasteur
-. . -.. .. -.-. -- .... . ..-. ..- - ..- .-.-
"The world is full of fascinating problems waiting to be solved"
--Eric S.Raymond

[Anchises Moraes]

A propósito, o documentário We Are Legion que assistiremos hj no Garoa faz uma crítica muito madura sobre a excessiva punição imposta pelas leis americanas aos cyber protestos.

2012/11/7 Aleph <vo...@techberto.com>

[Oscar Marques]

Ai ai ui ui tambem.... 

:)

--
Oscar Marques
osc...@gmail.com
http://www.dunkelheit.com.br
@f117usbr
+55 21 9293-9343

[Thales Paiva]

http://partidopirata.org/ativismo/marco-civil-da-internet-vai-a-votacao-com-perigos/

[Priscila Valderrama]

Muito triste.
E com previsão de ser votado ainda hoje o Marco Civil.
Big Brother...

[Leonardo G. T. dos Santos]

Subnet, eu já tinha conseguido chegar nesse texto sobre a Lei Azeredo... mas não consegui achar lá dentro o texto final com os paragrafos aprovados! :/

[Ronaldo P. Lima]

A que achei mais fácil de entender foi essa:

http://www.senado.gov.br/atividade/materia/getPDF.asp?t=113982&tp=1

[]'s

Ronaldo P. Lima
crimesciberneticos.com | @crimescibernet

[Mauro Risonho de Paula Assumpção]

Se aprovado mesmo pela presidente, "as sentinelas do Matrix" vão vir atrás de todos nós... corram para as montanhas!

Obs: Mas não desliguem o 3G e nem IRCs :)

@firebitsbr

[Subnet Martins]

En realidad, o que he propuso fue una charlla de nosotros. Y, no, contestar al congresso.

[Subnet Martins]

Existe um "texto final" porém sob previsão de alteração baseado no aceite, ou não, incluso dos complementos.

Mas o texto oficial mais próximo seria o do link abaixo:

http://www.camara.gov.br/proposicoesWeb/prop_mostrarintegra?codteor=992694&filename=REDACAO+FINAL+-+PL+2793/2011 

Em 7 de novembro de 2012 17:15, Leonardo G. T. dos Santos <con...@lgtelles.com.br> escreveu:

[DQ]

Bem, existe uma longa tradição do executivo brasileiro vetar leis do legislativo e do povo ignorar leis aprovadas...

DQ

[Anchises Moraes]

Considerando que a lei Carolina Diekman foi proposta por um deputado do PT, eu acho difícil a Dilma vetar...

2012/11/7 DQ <d.qu...@yahoo.com>

[Diego Aranha]

Onde está aquela parte sobre produzir, vender ou disseminar ferramentas com o intuito de invadir invasão de computadores? Não achei na versão final.

--
Diego de Freitas Aranha
Department of Computer Science - University of Brasília
http://www.cic.unb.br/~dfaranha

2012/11/7 DQ <d.qu...@yahoo.com>

[Subnet Martins]

Achei outro documento oficial que permite uma "leitura comparada" do que foi alterado e por quem (que casa):

http://www.senado.gov.br/atividade/materia/getPDF.asp?t=113982&tp=1

[Diego Aranha]

Já achei, a redação mudou e por isso não estava encontrando, mas está logo no início.

--
Diego de Freitas Aranha
Department of Computer Science - University of Brasília
http://www.cic.unb.br/~dfaranha

2012/11/7 Subnet Martins <subn...@gmail.com>

Achei outro documento oficial que permite uma "leitura comparada" do que foi alterado e por quem (que casa):

http://www.senado.gov.br/atividade/materia/getPDF.asp?t=113982&tp=1

--

[Subnet Martins]

Concordo. 

         O 'nosso' problema não está no texto da lei. Mas como fazemos para  fiscaliza-la e se fazer aplicar.

         Neste tema, o nosso "jeitinho brasileiro" vira um grande problema.

[Diego Aranha]

Depende, eu acho uma parte em especial MUITO preocupante. O projeto criminaliza:

Art. 154-A. Devassar dispositivo informático alheio, conectado ou não a rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo, instalar vulnerabilidades ou obter vantagem ilícita:
Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.
§ 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde programa de computador com o intuito de permitir a prática da conduta definida no caput.

Como ter segurança jurídica para se fazer pesquisa na área de Segurança Computacional? Como definir "intuito"? Artigos e software distribuídos com "intuito" educacional (mas que podem ser utilizados para alcançar o descrito no caput) são criminalizados ou não pela lei?

Abraço,

--
Diego de Freitas Aranha
Department of Computer Science - University of Brasília
http://www.cic.unb.br/~dfaranha

2012/11/7 Subnet Martins <subn...@gmail.com>

Concordo. 

[Subnet Martins]

Diego,

[Subnet Martins]

Diego,

         concordo que isto é um ponto de preocupação. Porém a nossa lei é baseada na capacidade discricionária do Juiz que irá julgar sua aplicação, bem como a forma de aplicação. Porém, qualquer aplicação da de lei, está sujeita, inicialmente á uma jurisprudência. Como não existe neste caso, haverá uma análise baseada nas leis análogas existentes no universo "não digital" e sua jurisprudência.

        Por mim, vai acabar sendo uma análise na intenção (boa fé, ou não) da ação que será objeto de análise. O como o "Inferno Brasileiro" NÃO está cheio de bem intencionados . . . .

o ônus da prova (e a frustração do resultado) ficará sobre os ombros do lesado. Ou do seu especialista em informática :P :P 

[Oda]

Sobre a tal lei, eu tenho uma visao fria e ponderada, semelhante a do video abaixo. Faco das palavras dele as minhas:
http://www.youtube.com/watch?v=h3SwIdMqU4c

--
Oda
------------------------------------------------------
If you don't have time to do it right, where
are you going to find the time to do it over?
------------------------------------------------------

2012/11/7 Subnet Martins <subn...@gmail.com>

--

[Dony]

Não acredito que até a do Azedo passou assim! O marco civil deveria ter sido antes, para tentar minimizar os impactos dessas duas leis, a do Azedo é a pior, pra que duas leis! Afff .Tudo que o que eu tenho a declarar está aqui:

"This is our world now... the world of the electron and the switch, the beauty of the baud. We make use of a service already existing without paying for what could be dirt-cheap if it wasn't run by profiteering gluttons, and you call us criminals. We explore... and you call us criminals. We seek after knowledge... and you call us criminals. We exist without skin color, without nationality, without religious bias... and you call us criminals. You build atomic bombs, you wage wars, you murder, cheat, and lie to us and try to make us believe it's for our own good, yet we're the criminals.

Yes, I am a criminal. My crime is that of curiosity. My crime is that of judging people by what they say and think, not what they look like. My crime is that of outsmarting you, something that you will never forgive me for."

Lamentável!!!  :(

[Anchises Moraes]

A lei do Azeredo é a de menos... o Azeredo ficou cortando tanta coisa da lei, para agradar todo mundo, que ela hoje em dia é praticamente inofensiva. O problema maior é a lei Carolina Diekman, do Paulo Teixeira/PT. É ela quem define as punições para crime cibernético e, pior, para quem faz pesquisa em segurança.

E o Marco Civil não iria mudar em nada, IMHO. O Marco Civil fala dos direitos na Internet, e os projetos falam da punição pelo uso criminoso.

[]s
Anchises

[Anchises Moraes]

Diego e Guilherme (e demais)

O Walter Capanema, da OAB/RJ, deu uma palestra bem legal no SegInfo em que ele comenta sobre as iniciativas de lei (que acabaram e concretizando hoje):

http://www.youtube.com/watch?v=AeMrtJYlh88&feature=youtu.be

[]s
Anchises

2012/11/7 Subnet Martins <subn...@gmail.com>

--

[Oscar Marques]

www.networkeventos.com.br/site/evento.php?evento=223&lg=pt

Amanha vou estar la com o Walter.

[Dony]

É verdade, esse ano retiraram os 17 ponto polêmicos dela (Azeredo)... eu me lembrei exatamente desses pontos quando vi a noticia... ai o apelido AI-5 digital me veio a cabeça... bem de qualquer forma quem faz pesquisa de segurança, exploits & cia está lascado mesmo.

E o slogan não muda BRASIL UM PAIS DE TOLOS

Agora só Dilma pode mudar algo então...

Complicado

[Eduardo.]

para variar, oq precisam eles não votam..
agora isso, apesar do caso da carolina, o problema é dela né..rsrs
se fosse pobre não teria lei nenhuma ne...
agora ja era, não vamos mais poder fazer nada, q ja vão " buscar " nos agora..
hauhauahuahahua
desculpa alguma coisa, mas é mais um desabafo... =D
abs

--
.--. .- .-. .- .--. --- ... - .- .-. . ... -.-. .-. . ...- .- .--. .- .-. .- .... .- -.-. -.- . .-. ... .--. .- -.-. . ... .--. .- - --. --- --- --. .-.. . --. .-. --- ..- .--. ... -.. --- - -.-. --- --
Nachschlagewerk (Regras da Lista): http://garoa.net.br/wiki/Lista:LeiaAntesDeClicarNoSend
Como se Associar: http://garoa.net.br/wiki/Associados
Sobre as Contribuições: http://garoa.net.br/wiki/Contribuições
Para mais informações sobre o Garoa Hacker Clube acesse http://garoa.net.br
Maiores opções sobre o Google Groups, visite: http://groups.google.com/group/hackerspacesp
.--. .- .-. .- -- .- .. ... .. -. ..-. --- .-. -- .- . ... .- -.-. . ... ... . --- .-- .. -.- ..
Epoch 0 <=> Fundação: 1298244863 s ~ 2.408064*10^52 tP (tempos de Planck)

--
Att.
Eduardo

[Alberto Fabiano]

há pontos positivos nesta lei; apesar dos perigosos pontos de conflito.

[&]s++/

2012/11/7 Eduardo. <eumes...@gmail.com>:

Alberto Fabiano C. de Medeiros
alb...@computer.org

[Diego Aranha]

Para ser sincero, eu sequer entendo a necessidade da lei. Os carinhas que roubaram as fotos da atriz global foram acusados de furto, extorsão e difamação, crimes convencionais executados via Internet. Para quê a lei então?

--
Diego de Freitas Aranha
Department of Computer Science - University of Brasília
http://www.cic.unb.br/~dfaranha

2012/11/8 Alberto Fabiano <alb...@computer.org>

[Alberto Fabiano]

dentro de uma visão tendenciosa,mais uma vez, os bancos tiveram participação fundamental.

houve um grande lobby por parte da FEBRABAN, para que tal lei saísse para se criar meios de criminalização dos desenvolvedores de malwares empregados no cibercrime, pois até então não havia uma forma de tipificar seus atos.

agora, o episódio da atriz global mostra como é nossa escala de prioridades; foi só entrar uma gostosinha global no meio, e o que antes estava se discutindo por anos infindáveis, em roupanagem nova e com um novo protagonista (antes se falava das senhorinhas e dos emergentes da internet vítimas dos cibercriminosos) que o projeto virou lei ASAP.

confesso que ainda estou surpreso com tudo isto, mas o fato é que as gambiarras jurídicas que eram feitas até então para tipificar os cibercrimes não estava legal e acabava deixando muitos meliantes impunes.

porém, ainda sinto-me desconfortável com esta nova lei.
--
sent from my mobile, excuse my fingers...

[Eldio Santos Jr.]

E olha que nem é tão gostosinha assim...

Quanto às leis, não entendo tão bem, mas até onde ouvi (de quem acho que entenda) você podia enquadrar qualquer delito virtual nos delitos já existentes na legislação... Não havia necessidade (além de fazer propaganda) de outras leis para isso... O único problema até então é que os magistrados precisavam de assessoria "especializada" por não entenderem como a tecnologia funciona...

[Dan Freitas]

Toda vez que leio o nome dessa lei, me vem a cabeça a foto da Carolina tentando sensualizar sentada na privada... ¬¬"

[Samuel Damasceno]

IMHO...

Realmente a sensação de desconforto é a melhor definição quanto a esse PL. Principalmente em se tratando do interesse da comunidade no desenvolvimento e pesquisa. Mas não há como desvincular a questão da impunidade que, para todo e qualquer ato ilícito, gera o sentimento de injustiça e uma cultura deturpada. Talvez esteja aí o desconforto: uma lei que pune e ao mesmo tempo limita o desenvolvimento.

Samuel Damasceno

Et lux in tenebris lucet

[Alberto Fabiano]

Well,

pois é, chamo aqui de "enquadrar qualquer delito real no mundo
digital" a legislação já existente de "gambiarra jurídica" chegando em
algumas situações a ser verdadeiros "hackings jurídicos"!

porém estes comprometiam a eficiência das ações penais por falta de
lei que oferecesse tipificação e penalidade adequada, resultando
(entre outras complicações) em 'penas brandas' (ou nem isto) destes
crimes, pois algumas situações favoreciam os advogados de defesa que
conseguiam desarmar toda uma acusação de crimes reais; acima de tudo
estimulando o cibercrime, afinal a impunidade sempre estimula o crime.

mas mesmo com esta lei, as penas continuam brandas; ela abriu um
caminho mas não melhorou tanto assim a questão da penalização dos
"crimes reais".

alguns se preocupam que o trabalho de alguns pesquisadores serão
prejudicados, porém mal há delegacias especializadas para tratar os
crimes "de fato" que já existem, não acredito muito que eles darão
foco a crimes especulativos; mas nunca se sabe.

conversando com delegados a pouco tempo, eles comentaram que esperavam
que fosse aprovado também um projeto que prevê a criação de mais
delegacias especializadas no âmbito das polícias civil e federal, que
seria a forma deles possuírem mecanismos adequados para executar a
lei; pois o pouco que há é sobrecarregado de casos, que muitas vezes
levam de 6 à 36 meses para serem concluídos.

porém acredito sim, que quando certas empresas ou órgãos
governamentais se sentirem prejudicados e chegarem a um meliante com
uma ferramenta utilizada indevidamente, acho que conseqüências
indesejadas podem acontecer.

por exemplo, eu já desenvolvi "ferramentas de teste" para "triggar"
a ocorrências de certos bugs, assim como para realizar testes de
protocolos que em determinada configuração provocam o "crash" de
certas versões de produtos e bibliotecas (que ainda estão em produção
e consumo por aí) assim como para avaliar a proteção de certos
softwares, como para testar vulnerabilidades e bugs (já corrigido em
versões atuais) assim como exploits de vulnerabilidades conhecidas
para se testar regras de IPS, IDS e analisadores de tráfego malicioso
diversos e fuzzers que acabam derrubando certos tipos de servidores de
aplicação (caso não tenha um firewall ou IPS devidamente configurado
para proteger estes servidores) que são utilizado tanto em testes como
em POCs de produtos, assim como desenvolvi ferramentas de testes que
realizava uma criptoanálise em específica se aproveitando de
vulnerabilidade de protocolo, falhas de sistema e para realizar provas
de conceitos dentro de um contexto corporativo; enfim, uma variedade
de ferramentas que podem ser utilizadas de forma maliciosa; mas que
não foram desenvolvidas para este propósito.

quase todas estas ferramentas, tem eu seu "header tool" ou em
fingerprint header a identificação que ela é de uso exclusivo da
empresa X ou Y. mas dependendo do contexto de uso, elas podem provocar
um incidente de segurança, no qual a vítima tomando as devidas
providências para o tratamento do incidente e for identificado que
este que vos escreve foi o autor de uma das ferramentas utilizado como
"arma" pelo tal meliante, o que poderia acontecer? em tese não
sofrerei nenhuma penalidade, mas sabe como é, quem tem c.... digo,
envolvimento indireto, também tem medo!

mas confesso que fico curioso também, vejam, certos "exploits" que já
desenvolvi, empregavam payloads já publicos na internet; porém
desenvolvi o exploit de forma que ele era mais letal ou mais adequado
para a utilização em um certo contexto; fico imaginando... isto caindo
em mãos maliciosas; o que poderiam acontecer; de verdade?

acredito que não terei nenhum tipo de problema, tanto pela lógica
contextual, quanto pelo que alguns advogados já comentaram, mas se por
acaso eu for para trás das grades? se isto acontecer, por favor, eu
não fumo! levem chocolate apenas; tenho preferência inclusive pelos da
marca Lindt & Sprüngli, Valrhona e Godiva; mas é só uma preferência,
de verdade nestas condições em comeria qualquer chocolate ;-)

[ ]s

A.

2012/11/8 Eldio Santos Jr. <eldio...@gmail.com>:

[Ronaldo P. Lima]

IMHO too...

Concordo que a lei traz um pouco de receio sim, eu mesmo às vezes disponibilizo no blog algum código malicioso pro pessoal baixar, estudar e reproduzir a análise. Creio que por precaução não mais farei isso.

Porém, a lei foi feita para punir criminosos, e como o Alberto (ou foi o Aleph? kkk) bem apontou, as delegacias não conseguem punir nem os criminosos que sacam dinheiro ou pagam contas com dados furtados quem dirá os pesquisadores. A meu ver essa lei foi criada para facilitar ou agilizar um pouco a punição desses casos concretos de crimes cibernéticos. Vejo algumas opiniões inflamadas sobre o tema e acho um pouco exageradas, há o bom senso (ou deveria haver :).

Agora se a "pesquisa" do cidadão for invadir, derrubar, ou adulterar sites de terceiros, deve ser punido mesmo.

Essa é minha opinião de leigo em assuntos jurídicos.

Abraços,

Ronaldo P. Lima
crimesciberneticos.com | @crimescibernet

[Alberto Fabiano]

2012/11/8 Samuel Damasceno <samue...@gmail.com>:

well, mais uma vez, acho que as delegacias andam tão sem recursos para
tratar casos de crimes reais e as cadeias tão lotadas; que casos
comprovados de desenvolvimentos sem fins maliciosos mas que forem
utilizados para práticas criminosas, o pesquisador só terá a dor de
cabeça de ter que provar sua inocência; o que já é um prejuízo,
desconforto e uma grande decepção.

mas confesso que neste contexto, fico imaginando outra coisa, já
imaginou se "exploits" e ferramentas de teste específicas foram
enquadradas como "armas de fogo" e forem obrigados a gerar licenças de
uso (numa equivalência ao número de série) sendo obrigados a seguir
uma padrão para que a perícia forense consiga realizar algum tipo de
rastreamento?

ou que apenas parte do código de série seja exibida e que a alteração
do mesmo, ou até de funcionalidades, seja enquadrada como algo
similar a crime de adulteração de arma de fogo?

ou então que todos "desenvolvedores de ferramentas de teste, exploits
e security researchers" tenham que se "cadastrar em algum órgão, numa
analogia aos fabricantes de armas também o são e que apenas aqueles
com o registro XPTO possam desenvolver tal prática?

veja, imagino outro contexto, onde um exploit foi desenvolvido mas
internamente foi codificado proteções no qual o mesmo só pode ser
utilizado num certo contexto, por exemplo de rede local, em certos
tipos de máquinas, tendo como alvo alguns tipos de máquinas (tipo que
tenha um fingerprint de máquina de testes) e neste contexto, aquele
que "quebrar tais proteções" para um uso mais amplo, seja qualificado
como o "raspador de número de série de armas".

IMHO, além da questão das penalidades brandas há toda uma série de
questões que envolvem este cenário; acho que é muito mais complexo do
que alguns estão considerando; porque empresas precisam de ferramentas
de teste para o seu ciclo de desenvolvimento e elas podem ser
utilziadas para propósitos maliciosos; como uma marreta, um pé de
cabra, um clips e uma bazuca também podem ser; mas no caso do
fabricante da bazuca há todo um enquadramento e leis específicas
relacionado ao seu uso, que podem sofrer paralelos para certas
categorias de software.

[ ]s

A.

>>
>> Et lux in tenebris lucet
>

[Anchises Moraes]

Tá aí um nicho de mercado...

Podemos criar a Associação de Pesquisadores de Segurança e Desenvolvedores de Exploit para Fins Pacíficos (APSDEFP), com um código de ética, aonde os pesquisadores poderiam se associar e a APSDEFP funcionaria como uma garantia de que esse pessoal não faz pesquisa para fins criminosos e, portanto, estariam "protegidos" da Lei Dieckman. Cobraremos uma anuidade que funcionará como um fundo de caixa para garantir assistência jurídica aos associados ;)

Também poderemos vender cursos e certificações da APSDEFP :)

[]s
Anchises

2012/11/8 Alberto Fabiano <alb...@computer.org>

[Ricardo de Jesus da Silva]

Muito legal a idéia. Aprovado Anchises.

[Alberto Fabiano]

Alberto e Aleph habitam o mesmo corpo, compartilham as mesmas
opiniões; mas eventualmente esquecem de clicar no listbox "change" e
alterar a identidade e "From" para deixar sua identidade uniforme em
certas threads, se for esquizofrenia ou algo do gênero fico até
lisonjeado vide esta matéria:
http://www.diariodasaude.com.br/news.php?article=criatividade-doencas-mentais&id=8324

sobre fornecer demos de artefatos maliciosos, reza a lenda que com o
disclaimer, indicando que o código é apenas para estudo; não haverá
problemas; algo que me foi comentado neste contexto é que seja criado
uma área restrita onde todos que desejarem ter acesso necessitem se
cadastrar e que seja informado um disclaimer; agora o engraçado que me
recomendaram foi criar um controle como uma serial de demo; achei
muito curioso! enfim, tudo indica que no Brasil passaremos por uma
fase negra, pois a didática de certos laboratórios serão prejudicados
vide o medo da penalização indevida.

[ ]s

A.



2012/11/8 Ronaldo P. Lima <crimesciber...@gmail.com>:

[Alberto Fabiano]

só não pode-se esquecer de adicionar os desenvolvedores de "software
testing"; pois estes são até mais comuns e muitos dos derivados do
trabalho destes profissionais, com as configurações "certas" fazem
praticamente o mesmo que certos "exploits" de forma até mais elegante;
não todos, aliás... nem todos mesmo!

APSDESTFP?

hummm.... e os testers? que são os que descobrem certos furos e no seu
papel de bug hunters desenvolvem aplicativos especiais para "triggar"
os bugs sinistros?! :-//

APSTDESTFP?

topo colaborar na fundação desta "associação"! ;-P

[ ]s

A.
2012/11/8 Anchises Moraes <anchi...@gmail.com>:

[Nash Leon]

Prezados,

Tenho acompanhado os emails e a discussão referente a lei nos bastidores, mas vou tentar

acrescentar meus 0,02 cents..

Algum tempo atrás eu havia comentado com o Anchises que o Professor Pablo Ximenes tem encabeçado uma luta contra essa lei:

http://ximen.es/?p=739

Ainda não entrei em contato com ele, mas me parece que o parecer da comissão de justiça entendeu

que 'obter vantagem ilícita' não se enquadra no pesquisa/profissional de teste de intrusão, então, quem

pratica isso, pode ficar tranquilo.

Mas existem outras pessoas que podem ser afetadas por tal lei que não são de empresas de segurança...

Essas incluem todas as pessoas que desejam no futuro trabalhar combatendo os crimes de informática,

criando soluções de segurança e principalmente criando inovações contra vírus, trojans, worms e etc..

Por exemplo, a discussão sobre a criação de trojans, viírus, worms, botnets como "ARTE" parece que

está bem longe de ter uma opinião em comum. Ai entra a questão que o Alberto Fabiano levantou,

não está claro pra mim se eu divulgar um vírus como prova de conceito, eu serei penalizado caso esse vírus

seja usado para fins ilícitos, mesmo eu colocando um "Não me responsabilizo pelo mau uso disso aqui".

Existem artistas que confeccionam espadas, estilo samurais, que veem nisso uma forma de arte. Da mesma

forma, existem artistas que desenvolvem, criam vírus, worms, trojans, botnets e etc como uma forma de programar

com arte e que poderão se ver na 'clandestinidade' diante de uma lei desse tipo. Eu me questiono se conceitos

como os de autômatos celulares, inteligência artificial e programação dinâmica aplicados na área de

segurança da informação não serão afetados.

Muitos conceitos que temos hoje como polimorfismo, scanning, uso efetivo de tabelas hashing, etc tem um

pézinho no mundo de malwares e a proibição de publicação dos mesmos pode vir a ser uma forma de proibir uma arte

ou mesmo proibir a liberdade de informação.

Ninguém aqui está defendendo o crime, mas é difícil diferenciar as coisas quando se há tão pouca

gente informada. Logo, assim como quando alguém diz que é hacker, já é visto com maus olhos

por pessoas desinformadas, o que se dirá de alguém que cria vírus, worms, trojans e etc como forma

de arte ou liberar informações?

Agora a parte mais importante nessa questão...

Como se proteger contra vírus, trojans, worms e etc.. se estão proibindo a divulgação dos mesmos?

Será que essa lei não visa "apenas" coibir a divulgação de informações? Colocando assim, empresas

como de antivírus numa vantagem competitiva frente a outras que poderiam surgir? 

Como ensinar gerações sobre exploitação de sistemas se tão coibindo a divulgação pública de exploits?

Lamento, mas alguém só vai saber se proteger contra algumas técnicas de ataque se e somente se souber

como elas funcionam.

- Acho que vale a reflexão sob essa ótica;

Um cordial abraço a todos,

NL.

[Charbel Chalala Issa]

Muito complicado tudo isso, principalmente por questoes do tipo, quem vai julgar tem algum conhecimento?

 

Falha interna que resulta em exposicao tambem é crime? Como julgar o que nao é intencional? Quem determina o que é ou nao confidencial? (se a operadora telefonica concorrente da que uso atualmente me liga oferecendo uma promoçao, falando meu nome e o valor de algumas de minhas contas telefonicas, poderia eu processar minha empresa por vazamento de informação ou a operadora que esta me oferecendo serviço por roubo de informação?)

 

Publicacoes em servers fora do país sem um responsável especifico no Brasil e por ai vai.

 

Isso da discussão pra muitos anos.

 

Acho que devíamos sim ter uma lei, mas penso que ela deveria ser melhor discutida (nao me pergunte como ;-p )

 

abs...

 

tlk

[DQ]

Não tenho paciência nem competência para analisar a lei, alguém pode responder a pergunta que não se cala: foi enquadrado o crime digital mais comum, que gera BILHÕES de perdas DIÁRIAS - o envio de spam?

Na linha mais light: a polícia vai chamar para esclarecimentos quem envia Powerpoints com fotos meigas e musiquinha melosa? Estão proibidos emails e posts contendo repetições consecutivas da letra k? Foi criminalizado o uso abusivo de letras maiúsculas em emails e grupos de discussão (epa!)? O mixuguês vai ser enquadrado como atentado à moral e bons costumes?

DQ

[Alberto Fabiano]

@NL,

pois é, não são nem 0.0002 bitcoins, mas vá lá:

o worm Hybris foi considerado "vírus arte", também conhecido como Snow
Shite e Full Moon! ;-) vulgo "Branca de Neve Pornô", que foi
desenvolvimento por um VX Team internacional, que contou com a
colaboração do coder russo Zombie e foi liderado pelo brazuca
"Vecna", e uma trupe que contribuía com a 29A; mas figura nos
catálogos como "vírus brasileiro", sendo-se que não exatamente isto.

Vecna foi considerado na década de 90 como um dos 10 VXers
(desenvolvedores de vírus) mais talentosos do mundo.

Em 2000, o worm Hybris, contava com assinatura RSA para realizar seu
"auto update"; coisa fina! ;-) Até eu ver o estrago que ele realizou
em alguns provedores de internet e em empresas. Enfim, é delicado;
esforço admirável mas ser prejudicado pela "arte" de alguns não é
agradável principalmente quando isto causa prejuízos financeiros; sem
contar outros, pois por exemplo sei de um grande hospital e de dois
laboratórios de análises clínicas que foram infectados com ele no qual
houve um certo transtorno causado por estas infecções, que culminou no
atraso de pacientes num pronto socorro, então....

porém o foco dele não era o cibercrime, não era prejudicar
"efetivamente"; era uma peça, uma brincadeira perigosa! ele era um
artefato da internet romântica, similar ao romance daquele que
acaricia com pé de cabra ou o da gata que te morde e te arranha com
unhas afiadas quando você a acaricia, mas era isto.

mas não deixa de ser um caso delicado.

tenho em mente algo que já me foi dito mais de uma vez, por delegados
e advogados, tenham em mente que o foco é ter mecanismos legais para
tipificação de crimes e penalizar quadrilhas praticantes de
cibercrime; o foco não está em penalizar gente que possuem atividades
"responsáveis" com foco no bem comum; mas não duvido que vez ou outra
um será pego como exemplo.

é óbvio que efeitos colaterais sempre acontecem, mas novamente, hoje
não há corpo efetivo direito nem para lidar com os cibercrimes
triviais; imaginem para ficar inventando formas especulativas, mas
shit happens.

@DQ,

considerando que muitos spams fazem parte de uma cadeia de ameaças,
sendo um Spear Phishing utilizado para praticar golpes financeiros,
como vetor de invasões driver by install; implicitamente ele pode ser
penalizado; diretamente não, mas este é um caso complicado dependendo
do caso o spam pode ser penalizado, dependendo não; lindo isto né?

se o PPT com fotos meigas e musiquinha melosa tiver um
trojan-downloader ou um droper de um malware, batata! é Crime.

o mixuguês, há o mixuguês! vamos voltar a falar de vírus arte, 29A e afins? ;-)

[ ]s

AL.

2012/11/8 Nash Leon <nashl...@gmail.com>:

[HeDCdesenvolvedor]

   Seria como aquele indivíduo que vende foices, facões e etc para trabalhos diversos, mas alguém usa indevidamente por conta própria...
   Veneno para ratos e etc, há casos de pessoas que usam para outros fins, os fabricantes e vendedores não são criminosos por isso.
   "...com o intuito de permitir a prática da conduta definida no caput." como no artigo.


Em quarta-feira, 7 de novembro de 2012 18h01min01s UTC-2, Diego Aranha escreveu:

Depende, eu acho uma parte em especial MUITO preocupante. O projeto criminaliza:

Art. 154-A. Devassar dispositivo informático alheio, conectado ou não a rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo, instalar vulnerabilidades ou obter vantagem ilícita:
Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.
§ 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde programa de computador com o intuito de permitir a prática da conduta definida no caput.

Como ter segurança jurídica para se fazer pesquisa na área de Segurança Computacional? Como definir "intuito"? Artigos e software distribuídos com "intuito" educacional (mas que podem ser utilizados para alcançar o descrito no caput) são criminalizados ou não pela lei?

Abraço,

--
Diego de Freitas Aranha
Department of Computer Science - University of Brasília
http://www.cic.unb.br/~dfaranha

2012/11/7 Subnet Martins <subn...@gmail.com>

Concordo. 

         O 'nosso' problema não está no texto da lei. Mas como fazemos para  fiscaliza-la e se fazer aplicar.

         Neste tema, o nosso "jeitinho brasileiro" vira um grande problema.

Em 7 de novembro de 2012 17:43, DQ <d.qu...@yahoo.com> escreveu:

Bem, existe uma longa tradição do executivo brasileiro vetar leis do legislativo e do povo ignorar leis aprovadas...

[Eduardo.]

gostei da ideia de associação..
e tbm do nome dela..
bem facil de decorar..
APSDEFP..
ahuhauhauahauah

--
Att.
Eduardo

[Nash Leon]

Prezado Aleph,

existe um mirror do antigo site do Z0mbie:

http://z0mbie.host.sk/

http://z0mbie.daemonlab.org/

Me disseram que ele foi perseguido na Rússia por uma fabricante de anti-vírus ao ponto

de ter de deixar o país.. espero que ainda esteja vivo.. :)

Os mais antigos devem se lembrar do Dark Avenger(turkoloco tá na lista)

e dos conceitos de polimorfirmos e uso de criptografia implementados nos seus vírus

(eu sou mais novo e não vivenciei essa fase). Esses conceitos também são usados

em 'proteções de propriedade intelectual'.

Mas espero mesmo que a repressão a liberdade de informação não impeça que novos

Z0mbies, Vecnas venham a surgir, em especial em .br, onde temos muita carência nesse

sentido... O vecna realmente foi um grande coder e nos ensinou muita coisa legal em termos de segurança.

Um cordial abraço,

NL.

[Diego Aranha]

Aparentemente, ao menos houve um esforço para evitar a criminalização da pesquisa em segurança:

http://ximen.es/?p=739

De qualquer forma, posso estar sendo pedante, mas ainda não gosto da redação final.

Abraço,

--
Diego de Freitas Aranha
Department of Computer Science - University of Brasília
http://www.cic.unb.br/~dfaranha

2012/11/9 Nash Leon <nashl...@gmail.com>

[Anchises Moraes]

Eu, particularmente, não sou tão otimista e ainda acho que o texto final pode ser interpretado de forma a penalizar qualquer profissional da área que crie ferramentas de segurança, exploits, códigos maliciosos, etc. Isso porque o texto do parágrafo que define isto não foi alterado para incluir a intenção criminosa do ato.

De qualquer forma, eu tive um certo trampo e perdi algumas horas de sono, mas consegui fazer um apanhado de todas as alterações feitas pelos dois PLs e coloquei em meu blog, junto com os links para os textos finais que foram aprovados pelo congresso:

http://anchisesbr.blogspot.com.br/2012/11/seguranca-aprovado-o-projeto-de-lei-dos.html

[]s
Anchises

2012/11/9 Diego Aranha <dfar...@gmail.com>

[Alberto Fabiano]

Anos atrás, quando eu estava sozinho na defesa de certos argumentos levantados em minha threat analysis no processo de concepção de um certo sistema, desenvolvi uma PoC para demonstrar o quão errados estavam os argumentos dos outros integrantes de um dado time de arquitetura; imaginem hoje, se num contexto destes fosse assumido arcar com os riscos? Minha PoC quebrava pilares de segurança de um certo sistema de segurança.

De agora em diante terei muito mais cuidado com minhas provas de conceito e afins.

Não vou contar com o bom senso de quem eu nem conheço, para não ser acusado, julgado, etc... Mesmo que certas coisas se preferem jogar para debaixo do tapete, a sorte não anda a meu favor ultimamente.

@Anchises, Parabéns pelo post.

[ ]s

A.

--
sent from my mobile, excuse my fingers...

[Dony]

O que preocupa na lei é exatamente o que o Anchises falou, não há na lei nada que separe um cara que coleciona armas, ou criar as suas próprias armas por diversão ou hobby de um marginal que mata e pratica crimes com essa arma, todos que tem essas armas, criam, portam, repassam são criminosos assim como o cara que a usa para praticar crimes, "tem a intenção criminosa". Aqui não se pensou em ciência e tecnologia pensaram somente em determinar que é prejudicial e ponto final. E o problema foi o ponto final...terem fechado dessa forma que possibilita qualquer um ser preso, independente de uso ou fim.

A Alemanha tem uma lei em alguns ponto similar a essa e parece que isso prejudicou bastante a pesquisa de segurança por lá, exatamente pelo mesmo problema,  não conheço detalhes da lei alemã e nem de suas consequências atuais e se mudou algo nessa leí, pode ser que nem seja mais tão grave essa realidade, mas eu me lembro que o que acontece aqui hoje é algo parecido com o que aconteceu lá a uns 5 anos, nesse ponto do desenvolvimento e uso de ferramentas próprias ou de terceiros .

Aqui tem uma matéria da época da lei.

http://www.istf.com.br/showthread.php/11271-Alemanha-declara-ilegal-o-uso-de-quot-ferramentas-de-hacker-quot

Bem alguns aqui conhecem o pessoal do CCC e podem dizer sobre e se mudou algo.

Dony

[Alberto Fabiano]

salve F0lks! ;-)

@NL,

sim, Z0mbie (que também foi autor do Zmist) foi perseguindo! e
Quem o perseguiu foi uma conhecida empresa de AV que tinha ligações
com a KGB e que seu fundador foi assíduo participante da VIRUS-L (para
quem não sabe foi um mailist que existiu entre 1988 e 1994), mas
pudera Z0mbie além de ter ajudado a criar importantes conceitos de
"proteção", ele também se envolveu com o embrião de uma das primeiras
quadrilhas de cibercrime russa, pois é. Ele se meteu com os caras
errados, só por isto.

também há quem defenda que o limiar do vírus "arte" para o
"criminoso" começou com o envolvimento de Z0mbie com a máfia russa, no
desenvolvimento de ransowares; mas não sei o quanto disto é lenda e o
quanto disto é realidade; o fato é que esta história rende um bom bom
livro. Alguém conhece esta história a fundo? Os detalhes dos reais
envolvimentos de Z0mbie, da perseguição, o que de fato aconteceu?

só por curiosidade e referência, o Hybris em alguns aspectos foi
considerado mais perigoso do que o Witty, Sasser, Blaster, CodeRed,
Slammer e o Zmist; pela forma que ele foi desenvolvido e por sua
sofisticação; onde o brasileiro Vecna (um dos que afirmavam
desenvolver "Vírus Arte") liderou. Vejam, até então o que se costumava
ver eram vírus desenvolvidos por uma única pessoa, no máximo por duas
e muitos deles nem eram tão sofisticados assim, já o Hybris foi
desenvolvido e mantido por um grupo, com alguns dos maiores
especialistas conhecidos na época em desenvolvimento de malware e
empregava várias técnicas avançadas para a época e até para os dias
atuais. Vejam, ele já emprega criptografia (muito bem implementado por
sinal) arquitetura de plugins criptografados, possuía características
stealth, utilizava RATs, enfim... ele foi um marco!

Mas, para ser *muito sincero*, hoje em dia, eu gostaria mais de
ver brasileiros desenvolvendo "Anti-Malware Arte", um que não fosse
praguejado, fosse admirado e que entrasse no "TOP 3" , que seja "TOP
5" dos escolhidos pelo mundo corporativo e nos desktops domésticos;
pois não adianta nos iludirmos, eles são necessários; sendo-se que
hoje em dia malwares são artefatos do cibercrime; não estamos nos
tempos de Fred Cohen, estamos em outros tempos e entendo que os
esforços devem ser canalizados para as direções corretas e não para
criar subsídios para a criminalidade, ao menos esta é a minha visão.

@Diego,

estou contigo também, e se isto for ser pedante, você não está
sozinho pois há mais simpatizantes aqui neste canal de que a redação
poderia ter sido muito melhor, assim com o projeto poderia ter sido
mais abrangente! também não gostei da redação, reconheço os esforços
em tentar evitar que pesquisadores e especialistas em computação,
segurança e criptografia sejam penalizados pela lei; mas justamente
pela redação tenho certas preocupações.


@Dony

as coisas na Alemanha só pioraram, hoje a prática do anonimato no
CCC só aumentou! sendo-se que eles não são paranóicos a toa, eles tem
motivo para isto.

por um lado, aqui no Brasil nem há tantos pesquisadores como haviam
ou há na Alemanha e nem a polícia e a justiça são tão rigorosos como é
lá; mas acho que por aqui ocorrem muito mais injustiças do que lá,
sendo-se que isto é o mais preocupante!!!

PS: Apesar de também ser um paranóico, fui assaltado *na frente* de um
Security Researcher do Departamento de Telecomunicações da Technical
University Berlin, e no ato nem ele e nem eu percebemos que isto
estava acontecendo! Até hoje ele não acredita, muito menos eu que tive
um prejuízo de mais de R$ 12.0000,00 por ter me distraído por alguns
minutos; fora a vergonha, o tempo que perdi e a raiva.

[&]s++;

A.

--

“Security is an illusion. Paranoia is our profession."-- Strategic Air command.
-. .. ... - -- .. -. ...- . -. - .. - .-
"The magic words are squeamish ossifrage" --Martin Gardner
- .... . -... . ... - .-- .- -.-- - --- .---
"The best way to predict the future is to invent it." --Alan Kay
-.. .- -. -.- .- -.--.. .. -.-. --. .. ... -
"Chance favors the prepared mind." --Louis Pasteur
-. . -.. .. -.-. -- .... . ..-. ..- - ..- .-.-
"The world is full of fascinating problems waiting to be solved"
--Eric S.Raymond

2012/11/9 Diego Aranha <dfar...@gmail.com>:

[JF]

Bom.. sempre me encantei pela cultura hacker de modo geral e sempre tive
curiosidade em rela��o as quest�es de seguran�a (fic��o ajudou nisto :).
Mas nunca soube por onde come�ar, como come�ar e a quem recorrer (sempre
encontrei sites 'mentirosos' e que me faziam formatar o PC >_>) para
aprender e entender melhor o assunto at� desistir. Mas ficar sabendo do
garoa e de outros hackerspaces trouxe experan�a! Mas agora acho que vai
ser mais dif�cil ainda conseguir tirar um conhecimento maior devido as
leis rec�m aprovadas deixando todos apreensivos.

N�o estou querendo preocupar ningu�m mas, ser� que criminalizariam
hackerspaces e atividades como o Paran�ia Hacker por conta disto? Basta
a m�dia das massas soltar uma vers�o e tudo vai por �gua abaixo. E eu
estou realmente preocupado e frustrado em rela��o a isto! :(

Abra�os!

Em 09-11-2012 09:16, Alberto Fabiano escreveu:
> salve F0lks! ;-)
>
> @NL,
>

> sim, Z0mbie (que tamb�m foi autor do Zmist) foi perseguindo! e
> Quem o perseguiu foi uma conhecida empresa de AV que tinha liga��es
> com a KGB e que seu fundador foi ass�duo participante da VIRUS-L (para
> quem n�o sabe foi um mailist que existiu entre 1988 e 1994), mas
> pudera Z0mbie al�m de ter ajudado a criar importantes conceitos de
> "prote��o", ele tamb�m se envolveu com o embri�o de uma das primeiras
> quadrilhas de cibercrime russa, pois �. Ele se meteu com os caras
> errados, s� por isto.
>
> tamb�m h� quem defenda que o limiar do v�rus "arte" para o
> "criminoso" come�ou com o envolvimento de Z0mbie com a m�fia russa, no
> desenvolvimento de ransowares; mas n�o sei o quanto disto � lenda e o
> quanto disto � realidade; o fato � que esta hist�ria rende um bom bom
> livro. Algu�m conhece esta hist�ria a fundo? Os detalhes dos reais
> envolvimentos de Z0mbie, da persegui��o, o que de fato aconteceu?
>
> s� por curiosidade e refer�ncia, o Hybris em alguns aspectos foi

> considerado mais perigoso do que o Witty, Sasser, Blaster, CodeRed,
> Slammer e o Zmist; pela forma que ele foi desenvolvido e por sua

> sofistica��o; onde o brasileiro Vecna (um dos que afirmavam
> desenvolver "V�rus Arte") liderou. Vejam, at� ent�o o que se costumava
> ver eram v�rus desenvolvidos por uma �nica pessoa, no m�ximo por duas
> e muitos deles nem eram t�o sofisticados assim, j� o Hybris foi

> desenvolvido e mantido por um grupo, com alguns dos maiores

> especialistas conhecidos na �poca em desenvolvimento de malware e
> empregava v�rias t�cnicas avan�adas para a �poca e at� para os dias
> atuais. Vejam, ele j� emprega criptografia (muito bem implementado por
> sinal) arquitetura de plugins criptografados, possu�a caracter�sticas

> stealth, utilizava RATs, enfim... ele foi um marco!
>
> Mas, para ser *muito sincero*, hoje em dia, eu gostaria mais de

> ver brasileiros desenvolvendo "Anti-Malware Arte", um que n�o fosse

> praguejado, fosse admirado e que entrasse no "TOP 3" , que seja "TOP

> 5" dos escolhidos pelo mundo corporativo e nos desktops dom�sticos;
> pois n�o adianta nos iludirmos, eles s�o necess�rios; sendo-se que
> hoje em dia malwares s�o artefatos do cibercrime; n�o estamos nos

> tempos de Fred Cohen, estamos em outros tempos e entendo que os

> esfor�os devem ser canalizados para as dire��es corretas e n�o para
> criar subs�dios para a criminalidade, ao menos esta � a minha vis�o.
>
> @Diego,
>
> estou contigo tamb�m, e se isto for ser pedante, voc� n�o est�
> sozinho pois h� mais simpatizantes aqui neste canal de que a reda��o

> poderia ter sido muito melhor, assim com o projeto poderia ter sido

> mais abrangente! tamb�m n�o gostei da reda��o, reconhe�o os esfor�os
> em tentar evitar que pesquisadores e especialistas em computa��o,
> seguran�a e criptografia sejam penalizados pela lei; mas justamente
> pela reda��o tenho certas preocupa��es.
>
>
> @Dony
>
> as coisas na Alemanha s� pioraram, hoje a pr�tica do anonimato no
> CCC s� aumentou! sendo-se que eles n�o s�o paran�icos a toa, eles tem
> motivo para isto.
>
> por um lado, aqui no Brasil nem h� tantos pesquisadores como haviam
> ou h� na Alemanha e nem a pol�cia e a justi�a s�o t�o rigorosos como �
> l�; mas acho que por aqui ocorrem muito mais injusti�as do que l�,
> sendo-se que isto � o mais preocupante!!!
>
> PS: Apesar de tamb�m ser um paran�ico, fui assaltado *na frente* de um
> Security Researcher do Departamento de Telecomunica��es da Technical

> University Berlin, e no ato nem ele e nem eu percebemos que isto

> estava acontecendo! At� hoje ele n�o acredita, muito menos eu que tive
> um preju�zo de mais de R$ 12.0000,00 por ter me distra�do por alguns

> minutos; fora a vergonha, o tempo que perdi e a raiva.
>
> [&]s++;
>
> A.
>


--

JF

[Alberto Fabiano]

@JF,

Só uma curiosidade: Hackers de verdade praticam o hacking! Sendo
este o objetivo do Garoa, esta lei penaliza o cibercrime, não tem nada
a ver com o Garoa e com os objetivos de um hackerspace de verdade!

Está em nosso código de conduta do Garoa que os frequentadores
devem "conduzir suas atividades com correção, integridade e fazendo
uso da boa fé no âmbito de suas ações." <<
https://garoa.net.br/wiki/C%C3%B3digo_de_Conduta quase todo
hackerspace tem algo do gênero.

Entre o hacking e o cibercrime, há uma intersecção e não agimos
nesta intersecção, praticamos a liberdade de expressão porém um dos
nossos princípios [vide o código de conduta] é o da "ética e a
transparência na condução de nossas ações"

Nossa visão do que é ser hacker está aqui: https://garoa.net.br/wiki/Hacker

E as ações do membros do Garoa, nossas atividades e a conduta dos
fundadores e daqueles que tem atuado conosco, como outros associados,
parceiros, simpatizantes e colabores tem seguido esta linha;
naturalmente, sem ser necessário nenhum trabalho educativo. É pura
afinidade mesmo.

Felizmente, tem sido assim! ;-)

[ ]s

A.

2012/11/9 JF <jfcandi...@gmail.com>:

> Bom.. sempre me encantei pela cultura hacker de modo geral e sempre tive

> curiosidade em relação as questões de segurança (ficção ajudou nisto :). Mas
> nunca soube por onde começar, como começar e a quem recorrer (sempre

> encontrei sites 'mentirosos' e que me faziam formatar o PC >_>) para

> aprender e entender melhor o assunto até desistir. Mas ficar sabendo do
> garoa e de outros hackerspaces trouxe experança! Mas agora acho que vai ser
> mais difícil ainda conseguir tirar um conhecimento maior devido as leis
> recém aprovadas deixando todos apreensivos.
>
> Não estou querendo preocupar ninguém mas, será que criminalizariam
> hackerspaces e atividades como o Paranóia Hacker por conta disto? Basta a
> mídia das massas soltar uma versão e tudo vai por água abaixo. E eu estou
> realmente preocupado e frustrado em relação a isto! :(
>
> Abraços!

>
> Em 09-11-2012 09:16, Alberto Fabiano escreveu:
>
>> salve F0lks! ;-)
>>
>> @NL,
>>

>> sim, Z0mbie (que também foi autor do Zmist) foi perseguindo! e
>> Quem o perseguiu foi uma conhecida empresa de AV que tinha ligações
>> com a KGB e que seu fundador foi assíduo participante da VIRUS-L (para
>> quem não sabe foi um mailist que existiu entre 1988 e 1994), mas
>> pudera Z0mbie além de ter ajudado a criar importantes conceitos de
>> "proteção", ele também se envolveu com o embrião de uma das primeiras
>> quadrilhas de cibercrime russa, pois é. Ele se meteu com os caras
>> errados, só por isto.
>>
>> também há quem defenda que o limiar do vírus "arte" para o
>> "criminoso" começou com o envolvimento de Z0mbie com a máfia russa, no
>> desenvolvimento de ransowares; mas não sei o quanto disto é lenda e o
>> quanto disto é realidade; o fato é que esta história rende um bom bom
>> livro. Alguém conhece esta história a fundo? Os detalhes dos reais
>> envolvimentos de Z0mbie, da perseguição, o que de fato aconteceu?
>>

>> só por curiosidade e referência, o Hybris em alguns aspectos foi

>> considerado mais perigoso do que o Witty, Sasser, Blaster, CodeRed,
>> Slammer e o Zmist; pela forma que ele foi desenvolvido e por sua

>> sofisticação; onde o brasileiro Vecna (um dos que afirmavam
>> desenvolver "Vírus Arte") liderou. Vejam, até então o que se costumava

>> ver eram vírus desenvolvidos por uma única pessoa, no máximo por duas
>> e muitos deles nem eram tão sofisticados assim, já o Hybris foi

>> desenvolvido e mantido por um grupo, com alguns dos maiores

>> especialistas conhecidos na época em desenvolvimento de malware e

>> empregava várias técnicas avançadas para a época e até para os dias
>> atuais. Vejam, ele já emprega criptografia (muito bem implementado por
>> sinal) arquitetura de plugins criptografados, possuía características

>> stealth, utilizava RATs, enfim... ele foi um marco!
>>
>> Mas, para ser *muito sincero*, hoje em dia, eu gostaria mais de

>> ver brasileiros desenvolvendo "Anti-Malware Arte", um que não fosse

>> praguejado, fosse admirado e que entrasse no "TOP 3" , que seja "TOP

>> 5" dos escolhidos pelo mundo corporativo e nos desktops domésticos;
>> pois não adianta nos iludirmos, eles são necessários; sendo-se que

>> hoje em dia malwares são artefatos do cibercrime; não estamos nos

>> tempos de Fred Cohen, estamos em outros tempos e entendo que os

>> esforços devem ser canalizados para as direções corretas e não para
>> criar subsídios para a criminalidade, ao menos esta é a minha visão.
>>
>> @Diego,
>>
>> estou contigo também, e se isto for ser pedante, você não está

>> sozinho pois há mais simpatizantes aqui neste canal de que a redação

>> poderia ter sido muito melhor, assim com o projeto poderia ter sido

>> mais abrangente! também não gostei da redação, reconheço os esforços

>> em tentar evitar que pesquisadores e especialistas em computação,
>> segurança e criptografia sejam penalizados pela lei; mas justamente
>> pela redação tenho certas preocupações.
>>
>>
>> @Dony
>>

>> as coisas na Alemanha só pioraram, hoje a prática do anonimato no

>> CCC só aumentou! sendo-se que eles não são paranóicos a toa, eles tem
>> motivo para isto.
>>

>> por um lado, aqui no Brasil nem há tantos pesquisadores como haviam
>> ou há na Alemanha e nem a polícia e a justiça são tão rigorosos como é
>> lá; mas acho que por aqui ocorrem muito mais injustiças do que lá,

>> sendo-se que isto é o mais preocupante!!!
>>
>> PS: Apesar de também ser um paranóico, fui assaltado *na frente* de um
>> Security Researcher do Departamento de Telecomunicações da Technical

>> University Berlin, e no ato nem ele e nem eu percebemos que isto

>> estava acontecendo! Até hoje ele não acredita, muito menos eu que tive
>> um prejuízo de mais de R$ 12.0000,00 por ter me distraído por alguns

>> minutos; fora a vergonha, o tempo que perdi e a raiva.
>>
>> [&]s++;
>>
>> A.
>>
>
>
> --
> JF
>
>

[Samuel Damasceno]

JF, no Garoa você encontrará profissionais de Seg Info de referência no mercado, que, por acaso, postaram/postam suas considerações aqui nessa lista de discussão...

Quanto aos hackerspaces, acho que não chega a tanto com a aprovação desse PL.

Quanto ao Paranoia Hacker, compareça ao próximo encontro, vai que....

Abraço

Samuel Damasceno

Et lu in tenebris lucet

[Anchises Moraes]

Pelo que eu entendi das mensagens, concordo com a preocupação do JF. (e acredito que ele está bem por dentro do que são os hackerspaces e o Garoa, mas de qualquer forma os emails do Alberto e do Samuel foram bem informativos para todos).

Seguindo a linah de raciocínio do JF, imaginm o potencial de desgraça que poderia ser se saísse uma reportagem totalmente distorcida sobre a cultura hacker, associando com o cyber crime, e queimando os hackerspaces juntos. Basta um jornalista mal informado e com má vontade p/ isso dar dor de cabeça. Agora, junte a isso a nova lei Dieckmann, que criminaliza a pesquisa em segurança. Acho pouco provável essa conjunção astral acontecer, mas dá frio na espinha pensar nisso.

2012/11/9 Samuel Damasceno <samue...@gmail.com>

--

[Oda]

pois eh, isso aumenta bastante a importancia daquele nosso objetivo:
"promover os ideais da ética hacker perante a comunidade e o poder
público, esclarecendo desentendimentos acerca do termo; "

agora mais do que nunca eh importante deixar claro que ser hacker nao
necessariamente implica em ser bandido (o que eh pode ate ser o caso
de outras classes como a de politicos, a de banqueiros...)
--
Oda
------------------------------------------------------
If you don't have time to do it right, where
are you going to find the time to do it over?
------------------------------------------------------


2012/11/9 Anchises Moraes <anchi...@gmail.com>:

[kern]

Depois de alguns dias pensando e umas releituras eu vejo que minha preocupação talvez esteja exagerada. O negrito abaixo realmente melhorou muito o contexto. Pois a ilicitude de um ato se compões em vários fatores como ocorrencia de dano e conduta. Também o segundo parágrafo, o mais preocupante em minha visão, infere também que haja uma conduta ilícita porém amarrando o ato a um intuito de causá-lo. Não gostei de como a lei foi escrita mas penso nela mais como a tipificação de um método de crime do que a criminalização do ato em si. Se analizarmos bem, veremos que diariamente presenciamos pequenas infrações da lei em todos os lugares. No transito, no comércio, na conduta e assim por diante.
No entanto eu concordo com o Anchises que devemos ter mais zelo com nossa imagem, afinal reporter mal-informado e/ou jornalismo distorcivo são quase pleonasmos. Ainda bem que quase.

"Invadir dispositivo informático alheio, conectado ou não a rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades, para obter vantagem ilícita.”

"Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.”

[];

[Anchises Moraes]

Eu sou leigo no universo do direito, mas eu interpreto este artigo como sendo duas coisas separadas: uma é cometer a invasão (caput do artigo), que só será crime se tiver como objetivo obter a vantagem ilícita, e outra coisa é produzir uma ferramenta.

O que me preocupa não é o caso do cyber criminoso que faz o seu phishing e customiza o seu trojan para roubar dados bancários. O que me preocupa é o cara que faz uma invasão usando ferramentas disponíveis na Internet. Pegando o exemplo mais simples possível: o cara que invade um computador e instala um sniffer para roubar senhas. O cara vai ser criminalizado pelo artigo 154, mas o que acontece com o outro funalo, que desenvolveu um sniffer, disponibilizou na Internet e o criminoso em questão utilizou? Vamos agora criminalizar e mandar prender todo mundo que desenvolve sniffers?

Tirando casos específicos de ferramentas desenvolvidas para o cyber crime (ex. trojans bancários, kits de phishing), qualquer outra ferramenta não tem intenção atrelada a ela. A intenção boa ou mal é algo inerente a quem usa a ferramenta, e não a ferramenta em si. Uma faca pode ser utilizada para cozinhar e alimentar alguém, ou pode ser utilizada para matar. Um revólver pode ser usado para defesa, para caça, para te proteger de um zumbi, ou para matar um pai de família ou um policial. Um sniffer pode ser usado para trobleshooting de rede ou para roubar dados. Um Metasploit pode ser usado para testes de segurança (Pentest) ou para invadir um site. O uso malicioso não está na ferramenta, mas sim na pessoa que a utiliza. E o parágrafo que foi criado não diferencia isso.

A esperança é que esta diferenciação vai surgir com a jurisprudência, assim que a lei começar a ser aplicada. Mas isso também significa que, até a jurispridência ser formada, muita gente (pesquisador sério e bem intencionado) vai ter que enfrentar os tribunais para provar sua inocência, só pq um bandidinho qualquer usou a ferramenta dele.

[]s
Anchises

2012/11/13 kern <dep...@gmail.com>

[Alberto Fabiano]

agora imagine como eu fico grilado; eu que já desenvolvi sniffers para
troubleshottings específicos? :-( hoje propriedade de empresas que eu
não mais tenho vínculos, porém está lá um "by Alberto Fabiano from
XPTO"

este tipo de software não poderia estar disponível na internet de
forma alguma, e para propósitos gerais há coisas mais específicas; mas
tem louco para tudo neste mundo... então vai que...

por mais que advogados já me disseram que eu posso ficar
mega-tranquilo, no país da “teoria do domínio do fato"; não há como
ficar "totalmente" tranquilo.

muitas utilitários que desenvolvi, foi por puro prazer e para fazer
certos tipos de troubleshootings, depurações com maios instrumentação
e testes de forma mais adequado, como resultado ou como toolkit para
realizar alguma pesquisa ou por puro prazer, mas quase sempre dentro
de contextos corporativos, de produção, pesquisa ou investigação. Só
espero que o meu prazer não tenha se tornado um grande risco para mim.

[ ]s

A.

2012/11/13 Anchises Moraes <anchi...@gmail.com>:

--
Alberto Fabiano C. de Medeiros
alb...@computer.org
PGP Key ID: 232D3D06

“Security is an illusion. Paranoia is our profession."-- Strategic Air command.

[kern]

Eu concordo com a visão do Pablo, semelhante ao que eu havia escrevido no post anterior. Não creio que quem produz a ferramenta será punido antes que se prove que havia intenção e interesse prático de se cometer crimes com essa ferramenta.

O texto abaixo foi extraído do site http://ximen.es/?p=739
pablo  replied:

16 hours ago

Oi Anchises,

Primeiro, obrigado pela visita. Vou pegar o gancho de seu comentário:

Minha preocupação se deve principalmente ao fato de que o atenuante “para obter vantagem ilícita” se refere ao caput do artigo 154-A, e não ao seu parágrafo primeiro.
Ou seja, o artigo 154-A de fato pune o cyber criminoso que invade algum computador. Mas, se este cyber criminoso usar uma ferramenta de terceiros, o parágrafo primeiro (que criminaliza “quem produz, oferece, distribui, vende ou difunde” uma ferramenta de segurança) irá punir o desenvolvedor da ferramenta e o site ou pessoa de onde o cyber criminoso obteu a ferramenta.

Vamos ver o parágrafo primeiro:

§1o Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.

Eu reli muito esse dispositivo, discutindo com muita gente, muitos especialistas. Aprendi sobre ele e notei suas nuances.

Note que “intuito” é expresso como condicionante do tipo. Ou seja, deverá existir o intuito de permitir o que define o caput. E o que define o caput? A prática da invasão com o objetivo expresso de obter vantagem ilícita.
Deixe-me começar com uma metáfora de carro. Quando uma montadora fabrica um carro seu intuito é o de permitir o transporte de pssageiros, permitir que alguém o dirija. Quando alguém atropela alguém causando morte, o carro foi usado com intuito diverso.

Quando o caput estava escrito da forma original que saiu do senado, ou seja, sem a expressão “para obter vantagem ilícita”, o ato de invadir apenas, sem nenhuma consideração sobre sua finalidade, era a conduta definida no caput. Ora, nesse cenário original, qualquer um que fizesse ferramenta de invasão incorreria no §1o, pois o intuito seria fazer uma ferramenta usada pra invadir e a conduta do caput é invadir e ponto. Quando adicionamos a excludente de ilicitude “para obter vantagem ilícita”, o que foi feito foi remeter o §1o ao caso de ferramentas feitas especificamente com o intuito de colaborar com a invasão para obter vantagem ilícita, e não qualquer invasão. O indivíduo que cria um weaponized exploit sob encomenda, sabendo que quem compra o usará para fins ilícitos incorreria no §1o. Na verdade, isso pode acabar representando um problema de forma inversa pois alguém, mesmo mal intencionado, poderia alegar a excludente dizendo que não tinha intenção de obter vantagem ilícita. Nesse caso teria que ser provado que houve de fato a intenção ilícita, de forma inequívoca. Teria que ser demonstrado, por exemplo, que o indivíduo auferiu ganho financeiro com o fato ou coisa similar. Veja, não estou dizendo aqui que muitos policiais, juízes, advogados não vão cometer gafes na interpretação da lei. Hoje, sem nem existir lei pra certas condutas e mesmo com o principio da legalidade, muitos juízes já tentam enfiar pela goela certos tipos penais os imputando a condutas sem correspondência, como no próprio caso da Dieckmann, onde se ouviu até que os caras seriam processados por furto, como se dado fosse coisa.

Contudo, essas interpretações não se sustentam frente a doutrina. E outra coisa, a doutrina nesse campo ainda está pra ser escrita. Quanto mais divulgamos a visão correta da lei, mas os doutrinadores a verão de forma adequada e a interpretação que o congresso quis dar, a interpretação que nós profissionais da segurança achamos a mais justa, prevalecerá.

Estou preparando um artigo puxando um pouco pro direito, onde comento não só sobre a questão das ferramentas como sobre o DoS. Assim que sair do forno eu aviso.

[kern]

escrevido não pô, escrito. xD

[Anchises Moraes]

Kern,

A minha preocupação maior é o caso em que a pessoa que cometeu a invasão tenha a intenção de obter vantagem ilícita (ou seja, a ação dela é claramente tipificada no artigo), mas para realizar a invasão ela usou uma ferramenta de terceiros.

Acho que não precisamos discutir o caso de alguém que desenvolve um exploit u um banking trojan sob encomenda de um carder. Isso está claro, conceitualmente e sob a nova lei, que é crime.

Mas e o caso de alguém que desenvolve e disponibiliza uma ferramenta genérica, como um sniffer, ou o Metasploit? Deixa eu tentar exemplificar melhor:

Sujeito 1: Bl4ck_H4ck3r_X - contratado pela empresa PadariadaEsquina.com para invadir o site da PadocadoBairro.com e roubar a receita de rosquinha cremosa com recheio de marzipan.

Bl4ck_H4ck3r_X invade o site, instala um sniffer, captura senha de todo mundo, com isso tem acesso remoto a todas as máquinas, invade o micro do dono da PadocadoBairro.com e rouba a receita da rosquinha cremosa com recheio de marzipan.

PadariadaEsquina.com lança primeiro a rosquinha cremosa com recheio de marzipan, faz o maior sucesso e a PadocadoBairro.com fica em segundo plano, tendo disperdiçado 6 meses de intensa pesquisa e desenvolvimento para criar a receita da rosquinha cremosa com recheio de marzipan.

A PadocadoBairro.com descobre que os micros foram invadidos, chama um perito, que rastreia toda a invasão, descobre várias ferramentas instaladas nos micros da empresa, inclusive o sniffer. E o perito consegue, inclusive, identificar quem é o Bl4ck_H4ck3r_X.

A PadocadoBairro entra com um processo contra a PadariadaEsquina.com. Bl4ck_H4ck3r_X é condenado pela invasão e a PadariadaEsquina.com é condenada pelos danos financeiros causados a PadocadoBairro. No processo, a PadocadoBairro resolve incluir o cara que fez o sniffer utilizado para invadir a empresa. Pelo artigo 154, o cara que fez o sniffer utilizado na prática criminosa tbém pode ser peocessado, pois a invasão teve a intenção de obter vantagem ilícita. Assim, o perito da PadocadoBairro descobre o banner no sniffer que diz "by Alberto Fabiano", um desenvolvedor confesso de ferramentas de sniffer. Assim, pelo parágrafo 1o do artigo 154, o Alberto Fabiano pode ser processado, preso e pagar multa pois a ferramenta dele foi utilizada.

Aí, o pobre coitado do Alberto Fabiano, profissional de segurança desempregado (pois o ex-patrão dele o demitiu quando descobriu que ele estava sendo acusado de co-autoria na invasão da PadariadoBairro), tem que contratar um advogado, arcar com os custos de defesa, para tentar se declarar inocente pois ele não em culpa que a ferramenta dele, desenvolvida para troubleshooting de rede, tenha sido usada por um cyber criminoso.

Desculpem-me pelo e-mail longo e fantasioso, mas eu não sei como explicar de forma mais simples e forma mais clara o cenário em que um cyber criminoso usa uma ferramenta de terceiros, prar cometer um cyber crime.

Seria similar ao caso do cara que usa uma faca tramontina para matar a esposa e receber o seguro de vida dela. Ele tinha a intenção de matar. Ele matou. E o juiz resolve processar a Tramontina pois um deputado criou uma lei em que é crime produzir ou vender objeto com o intuito de permitir o assassinato.

[]s
Anchises

A pessoa não tinha intenção de obter vantagem ilícita, mas a ferramenta dela foi usada por alguém que fez uma invasão e foi condenada pelo artigo 154. Logo, foi caracterizado o crime e agora o juiz resolve ir atrás de quem criou a ferramenta.

2012/11/13 kern <dep...@gmail.com>

[Alberto Fabiano]

@kern

eu também tento acreditar que o sistema já tem muito criminoso real
para ser punir e que interpretações excêntricas e distorcidas não irão
criminalizar pessoas por contextos esdrúxulos, principalmente onde
fica nítido que nem de longe houve intenções de se obter vantagem
ilícita.

entendo que por exemplo, dentro do vigor da lei, jamais o pessoal do
Martin Lab poderia ser incriminado por ter desenvolvido o FLAME
(Flexible Lightweight Active Measurement Environment) core da
arquitetura de plugins do malware de ciberespionagem que ganhou o
mesmo nome, mesmo que via o FLAME Malware tivesse sido utilizado como
instrumento para uma sabotagem que deixasse o sudestes brasileiro sem
energia por 7 minutos, 7 houras ou até a 7 dias.

eles de nada tem culpa disto, jamais poderia ser incriminados! mesmo
que os desenvolvedores do malware estivessem na lista do FLAME e
tivessem tirado várias dúvidas com os desenvolvedores do framework
FLAME.

ensinar alguém a programar, dar códigos de exemplo para estudo,
contribuir com a pesquisa de alguém não te faz cúmplice de um maldito
golpe de um maluco...

mas, a "Teoria do Domínio do Fato" está por aí...

[ ]s

A.

2012/11/13 kern <dep...@gmail.com>:

[Dony]

Eu acho um tanto quanto perigoso e obscuro esse ponto da lei relacionado as ferramentas utilizadas ou desenvolvidas e que tem o potencial de serem utilizadas por outrem para fins escusos. Não há clareza na lei como os colegas citaram acima e acho que isso também é minha preocupação, porque o entendimento do jurista fará toda diferença, mal comparando, antes uma pessoa pega com uma pequena quantidade de droga poderia ser enquadrada como traficante ou como usuário e isso dependia do delegado e depois do juiz, por que? Porque a lei permitia essa brecha, se o cara fosse pobre, negro e da periferia, com certeza o julgamento pesaria mais pra qual lado? O julgar  é sempre um problema quando a lei não é clara e especifica o bastante nesse caso depois foi criado uma lei para tipificar a figura do viciado que precisa se tratar ou pagar seu crime com serviços a sociedade até descriminalização do usuário em si. Nenhum usuário pelo que escuto falar depois da reforma da lei vai preso por usar e é quase impossível tipifica-lo como traficante, um advogado qualquer tira o cara, no caso de haver um engano em um piscar de olhos sem fazer força, pois a lei é clara, antigamente por preconceito, por birra, para ter algo na imprensa era fácil agir assim.

O que quero dizer é que a lei não tipifica a figura do pesquisador de segurança ou do profissional de segurança,   que protege as empresas fazendo de forma controlada e autorizada seus ataques (sim essa questão lei permite, sendo autorizado) usando ferramentas que ele ou outro criou, POIS É PROIBIDO  criar ou usar essas ferramentas, automaticamente criminalizando quem as produz e as distribui seja pra quem for, seja onde for, não há esse uso legitimo declarado na lei:

"Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.”

E aquele papo que todo mundo usava em seus blogs e sites para dizer que a ferramenta é para estudo, o uso indevido é de sua responsabilidade, bla bla bla... meio que caiu por terra... se alguém quiser te ferrar,  era mesma que coisa que ser pego com entorpecente e dizer ao policial eu não sou usuário, só estou experimentando... bom a lei era clara ou você é usuário ou é traficante, não tem na lei a figura do experimentando e ai era melhor o cara falar que era viciado, pois quem não é um é outro, você foi pego (em flagrante) e existem provas do ato. 

A coisa foi tão longe que até mesmo hardware usado para hacking não pode (o que não tem nada a ver com modificar dispositivos por diversão), se eu colocar uma mini distro de pentest em um raspberry e criar um pwnie express alternativo da vida e quiser vender ou até mesmo doar!!! não posso pois é um dispositivo que contém vários desses softwares que permitem a prática definida no caput.

IMHO  eu acho que esse ponto da lei abre brechas sim, por mais que 1000 advogados digam que não, outros 1000 dirão que sim! Ou seja assim como o usuário de drogas que era pego com uma pequena quantidade e a quantidade que separava um do outro era interpretativa, caso alguém te denuncie ou algo ocorra com você por ter descoberto e liberado um exploitizinho para um produto xyz, é bom que por garantia você tenha um excelente advogado!!!

Acho que as empresas de segurança, bem como os profissionais de segurança, estudantes e interessados deveriam se reunir e pedir a alteração dessa lei ou sei lá pelo menos tentar algo, para que fique claro isso principalmente pra quem não tem nem ideia, ou para juristas não especializados em tecnologia, deputados que não entendem do assunto "tecnologia de segurança da informação" "desenvolvimento de pesquisa em segurança da informação" e outros pontos, pois quando alguém for pego como bode expiatório ou para mostrar serviço, digo algum pesquisador brasileiro que desenvolver uma ferramenta que permita a alguém invadir ou derrubar alguns sistemas ai é tarde. A mídia sensacionalista e a imprensa marrom vão adorar e eles e o povo em geral não sabem distinguir nem um hacker de um cracker, algo básico, quanto mais um "pesquisador ou profissional de segurança da informação. Poderia se fazer uma matéria na TV, um podcast, um vídeo no youtube, um evento para discutir o impacto disso, uma apresentação em uma conf, para explicar e divulgar isso, sei lá, são só idéias somente.

Resumindo não há a figura desse camarada nessa lei "o pesquisador", "o profissional" que deseja melhorar a segurança demonstrando as falhas, ou você é ou você não é, ou foi você que desenvolveu ou não foi você e ai você terá que provar isso. 

Mais uma vez, veja o que ocorreu na Alemanha, como já citado e confirmado que a coisa piorou, espero que isso não aconteça por aqui.

Bem o âmago do que disse vem de encontro com o que alguns colegas citaram! 

Uma lei bem formulada pode ser uma ótima ferramenta para evitar problemas nas empresas e governo e um apoio aos profissionais que protegem as empresas dos criminosos, mas o humor negro é que o feitiço pode facilmente se virar contra o feiticeiro, o tiro pode sim sair pela culatra.

Dony

[Diego Aranha]

Curiosamente, comentei essa problemática da Lei Dieckman na minha aula de hoje (disciplina de Criptografia) e lembrei exatamente do caso do Banco do Brasil, que assisti estando na platéia do SBSeg. Por isso pergunto:

O que teria acontecido naquela ocasião se essa lei já estivesse aprovada?

Abraço,

--
Diego de Freitas Aranha
Department of Computer Science - University of Brasília
http://www.cic.unb.br/~dfaranha

2012/11/13 Pablo Ximenes <pa...@ximen.es>

Oi Anchises e demais colegas,

Muito importantes os pontos que você levantou. Veja a interpretação que acho mais coerente.


A grande pergunta é: O desenvolvedor do Sniffer, criou a ferramenta com intuito de cooperar com Bl4ck_H4ck3r_X de forma específica?

É muito fácil responder a esta pergunta, e a resposta é não.

Contudo, é possível que a coisa fique um tanto cinza e existam juízes que façam o seguinte questionamento complementar:

"Apresente os usos e finalidades dessa ferramenta sua, pois na minha opinião não existe nenhum uso legítimo, só serve pra permitir a invasão para obter vantagem ilícita"

Note que a questão paira no intuito do autor da distribuição, criação, difusão, etc.  O intuito tem que ser diretamente, e únicamente, ligado com a obtenção de vantagem ilícita.  Isso sem dúvida cria uma limitação na conduta, gerando uma área cinza. Contudo, existe uma grande diferença entre "com o intuito de permitir" e "que possa permitir de qualquer maneira".  "Permitir de qualquer maneira" significa que basta a ferramenta facilitar o ataque que perfaz-se o tipo. "COm o intuito de permitir"  significa que mesmo um ferramenta usada para ataques iegítimos não se enquadraria caso os distribuidores ou autores não tivessem intuito de cooperar. Na verdade o intuito da ferramenta nem precisa ser claro, o que tem que ser claro é a relação do intuito de criá-la com a prática do crime. Se isto não existir, mesmo que o intuido da criação da ferramenta não esteja claro, não poderá ser imputado o crime.

Aliás, é importante que se note que o fabricante do sistema operacional, do compilador, dos dispositivos de redes utilizados, de todo e qualquer hardware envolvido estariam também enquadrados pela lógica do "Permitir de qualquer maneira", que, ao meu ver, é a você imputa.

Injustiças aparecerão, sem dúvida. Temos que no insurgir contra elas.

Olhem, eu falo isso não como alguém alheio a esta ameaça. Escrevo meus códigos também. Já até fui ameaçado pelo Banco do Brasil (sem dó nem piedade e sem nenhuma base jurídica, diga-se de passagem) por conta de um artigo no qual sou autor, isso sem existir lei de cibercrime.

Injustiças ocrreriam com qualquer redação deste dispositivo e acredito que temos respaldo suficiente com a redação atual para travar a batalha.

Sobre o Caso da Alemanha, uma curiosidade: vocês sabiam que o próprio Governo Alemão distribui um DVD cheio de ferramentas que em tese seriam crime pela lei deles? Teve até um jornal de lá que tentou fazer uma denúncia (que foi rejeitada). Existe muito sobre o caso deles que não sabemos.

Abraços,

Pablo Ximenes

[Alberto Fabiano]

olá Pessoal,

@Ximenes, como réu hipotético (o do exemplo do Anchises) "quero"
acreditar exatamente nesta sua interpretação! ;-)

e comento "quero", pois, por mais bom senso que tenhamos e por mais
alteridade que a justiça tenha, o mundo real é cheio de surpresas
malditas e as injustiças não são virtuais.

há uma grande necessidade de "fé" para se viver, principalmente no
Brasil, mas na medida certa. Não devemos ter misantropia, mas não
podemos esquecer que a desconfiança é mãe da segurança; já dizia
Madeleine Scudéry. Afinal, o excesso de fé nos deixa distraído para
por exemplo nos deixar enganar pelas pessoas visto que "a confiança é
a mãe do descuido"; como já dizia Baltasar Gracián.

afirmo isto, pois, hoje é cada vez mais importante prestar atenção no
que se compartilha e com quem; sendo este (acredito eu) o que será um
potencial vetor de dúvidas/injustiças no caso da lei de cibercrimes, o
que já se é uma constante na vida e já temos várias prisões injustas,
justamente por excesso de confiança em pessoas que tem grande
potencial para cometer atos ilícitos; por mais que simpatizemos, com
quem está no limiar temos que ter muita prudência.

isto já era importante antes, independente de lei, hoje então, mais ainda!

Grato pelos esclarecimentos.

[ ]s

ALFCM

--

“Security is an illusion. Paranoia is our profession."-- Strategic Air command.
-. .. ... - -- .. -. ...- . -. - .. - .-
"The magic words are squeamish ossifrage" --Martin Gardner
- .... . -... . ... - .-- .- -.-- - --- .---
"The best way to predict the future is to invent it." --Alan Kay
-.. .- -. -.- .- -.--.. .. -.-. --. .. ... -
"Chance favors the prepared mind." --Louis Pasteur
-. . -.. .. -.-. -- .... . ..-. ..- - ..- .-.-
"The world is full of fascinating problems waiting to be solved"
--Eric S.Raymond

[Pablo Ximenes]

Oi Diego,

Não mudaria nada com a nova lei. Nós fizemos uma engenharia reversa no teclado virtual, expomos as vulnerabilidades que encontramos juntamente com outras complementares de outros autores de forma a demonstrar a ineficácia do mecanismo.

Nosso artigo nem era dispositivo nem programa de computador, nem muito menos permitia a invasao para obtenção de vantagem ilícita.

O argumento usado por eles foi o artigo 17 do código civil que protege o nome da pessoa natural. Esse mesmo direito pode ser derivado para a pessoa jurídica. Note que o Art. 17 pode ser ainda usado hoje. Basicamente o que disseram foi: não usem meu nome publicamente, vocês estão pribidos de fazer isso, se continuarem usando vou cobrar danos e mandar prender (isso mesmo, ameaçaram usar a esfera penal, não sei como...).


Quem quiser ler o artigo, ele pode ser encontrado aqui:  http://ximen.es/artigos/Sbseg2008_BancoDoBrasil.pdf


2012/11/13 Diego Aranha <dfar...@gmail.com>

[Diego Aranha]

Interessante, Pablo. O cenário mudaria se você tivessem implementado e distribuído um protótipo?

Acho que utilizaram o artigo 17 por ser o único dispositivo legal existente na época para tentar impedir a publicação e disseminação dos resultados...

[Pablo Ximenes]

Mesmo com protótipo, não haveria intenção de permitir a obtenção de vantagem ilícita, sem esse elemento o tipo não se perfaz. A intenção de um trabalho acadêmico é clara e inequivocamente a proliferação do conhecimento e o avanço da ciência.

Att,

Pablo

2012/11/13 Diego Aranha <dfar...@gmail.com>

[Alberto Fabiano]

Aliás, penso que a partir de agora devemos ter cuidado até nos nomes!

malware é literalmente para uso malicioso e tentar se tirar vantagem ilícitas.

artefato para prova de conceitos e pesquisas com endpoint protections,
são exatamente isto: "artefato de pesquisas"! ;-)

artefato para se realizar teste de "engenharia social" ou pen-test de
simulação de "APT" ou "SMT" com phishing scam, são graywares! ;-) Se
bem que eu desconfio muito de certos desenvolvedores de graywares,
este é o tipo de profissional que eu tomo muito cuidado em
compartilhar informações pois eu sempre tenho a grande desconfiança de
que eles estão no limiar; apesar de simpatizar muitíssimo com alguns
deles, não com todos.

e aos profissionais e para as empresas envolvidas na contratação deste
tipo de serviço, tomem cuidado redobrado com a formalização de todas
as etapas e os artefatos empregados; por mais que eu não simpatize com
esta categoria de testes empregando certos tipos de artefatos, também
não simpatizo com injustiças.

mas por um lado fico feliz, que a velha prática de algumas empresas
anti-éticas que provocam um incidente de segurança primeiro e depois
tentam vender seus serviços; finalmente poderá ser combatido da forma
devida! a farra está próxima de acabar!!!

[ ]s

ALFCM

2012/11/13 Alberto Fabiano <alb...@computer.org>:

[Oda]

so para finalizar a thread:
http://blogs.estadao.com.br/link/dilma-aprova-leis-de-cibercrimes/

--
Oda
------------------------------------------------------
If you don't have time to do it right, where
are you going to find the time to do it over?
------------------------------------------------------

2012/11/14 Alberto Fabiano <alb...@computer.org>: