O Projeto de Lei 2793 de 2011 (PL2793/2011), conhecido como Lei de Crimes Cibernéticos (ou de forma mais jocosa, Lei Dieckmann), em seu art. 2o., especificamente na porção que institui o novo tipo penal de invasão de computadores, através da adição a nosso código penal do Art. 154A e atravé dele criminaliza também a produção, difusão, venda e criação de programas de computador usados como ferramentas de ataque cibernético. Vejamos a íntegra do disposito para melhor compreensão:
Art. 154-A. Devassar dispositivo informático alheio, conectado ou não a rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo, instalar vulnerabilidades ou obter vantagem ilícita:
Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.
§ 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde programa de computador com o intuito de permitir a prática da conduta definida no caput.
Inicialmente, vamos analisar a interpretação mais abrangente, onde a lei criminalizaria o uso qualquer ferramenta informática com o mero feito de esta ser usada em um ataque cibernético de invasão de computadores. Tal interpretação é imprópria. É o mesmo que criminalizar o a Tramontina pode ter uma de suas facas usada em um assassinato. Imaginem um ataque que se vale de Windows XP como instrumento (o terminal de ataque, por exemplo): representantes da microsoft, distribuidores de licensas, professores de cursos de informática iriam para a cadeia? Imagino que essa interpretação extrema não se sustente e sucumba ao bom senso do judiciário, contudo com bem menos espaço interpretativo as autoridades já fizeram atrocidades em nosso país fazendo parecer que nosso judiciário se preocupa mais com a legalidade do que com a justiça.
Vamos à outra interpretação, que é a mais relevante à nossa discussão e que diz respeito a ferramentas de (in)segurança, aquelas que são usadas especificamente em ações de quebra de segurança.
Em primeiro lugar, grande parte de tais ferramentas não possuem propósito único. Podem ser usadas com diversos intuitos, fato que remonta ao argumento anterior. Por exemplo, uma ferramena de análise de tráfego do tipo sniffer pode ser usada tando para diagnosticar uma rede como para capturar senhas que trafegam sem criptografia. Em segundo lugar, mesmo as ferramentas que tenham sido especificamente criadas com o intuito de quebrar a segurança não podem deixar de existir livremente em nosso meio. Elas são muito importantes para a ciência e tecnologia de um país.
É imperativo conhecer as técnicas de ataque, com exemplos, provas de conceito, implementações práticas, discussões abertas, cursos, etc, para que sejamos capazes de, no mínimo, nos defender. Isso é uma máxima comum no meio da segurança da informação. Por exemplo, vários artigos são escritos demonstrando como um determinado protocolo de criptografia (ou sua implentação) é falho, muitos deles publicam programa exemplo que demonstra a falha. Com o desenrolar desta lei, inibiremos a atividade de muitos profissionais que é vital para a segurança da informação. A principal estratégia de prova de uma fragilidade de segurança é a criação de software que demonstra a sua quebra. Difundir essas ferramentas, com demonstrações práticas é o passo inicial reforçar a segurança de muitos sistemas. Em um exemplo pessoal, cito o início de meus estudos na antiga Escola Técnica Federal do Ceara (hoje IFCE). Logo no primeiro semestre peguei emprestado da biblioteca o livro entitulado “Vírus de Computador”. Era u livro com instruções de como desenhar estes estes prograsm e incluía, dentre ostras coisas, códigos fontes de vírus em várias linguagens. Minha curiosidade me fez estudar o livro com afinco, e este estudo foi uma das bases para o que o hoje conheço de segurança da informação. Um livro como esse seria classificado, no mínimo, como “difundir” (pois passava adiante a idéia) e “distribuir” (pois o livro possuía códigos fontes) programa de computador que permite a invasão de dispositivo informático. Este livro seria literalmente censurado e eu provavelmente não teria inciado meus estudos sobre softwares maliciosos. Imagine isso amplificado para toda a sociedade e para qualquer software que verse sobre insegurança de computadores.
Permitir a livre distribuição, criação,difusão e até venda é permitir que o conhecimento nessa área se difunda, cresça e se solidifique. Naõ vejo a CENSURA AO CONHECIMENTO como mecanismo eficaz de proteção social, pelo contrário (vide a ditadura militar). Não poderíamos ter mais CURSOS de metasploit, por exemplo, pois seria difusão de ferramenta usada com intuito de devassar computadores.
E agora o ponto que quebra por completo a linha de raciocício do PL: os principais KITs de software usados por criminosos não são adquiridos no Brasil, mas no exterior, muitos deles da Rússia. Vide o mais recente deles, o RedKit, que é extremamente fácil de usar e serve para criar e gerir botnets. Ou seja, essa proibição nem de perto dificultaria os principais esquemas criminosos que se valem de tais ferramentas. Em outras palavras, não traria nenhum benefício para nossa nação, deixando a lei inóqua.
Contudo, Criar essa proibição no Brasil é dilacerar a ciência e tecnologia na área da segurança da informação. Isso nos deixará, como País, órfãos, capengas em uma área estratégica para a segurança nacional. É importante entender que CiberGuerra saiu do campo da ficção e é de fato realidade. Vide o caso americano que recentemente estampou o prestigioso New York Times, onde uma ordem secreta do presidente Barack Obama fez dos EUA o principal criador do famigerado StuxNet, malware (um tipo de vírus de computador) desenhado como arma cibernética para desativar a planta nuclear Iraniana, mas que acabou invadindo computadores civis de todo o mundo. Não podemos ficar atrás. Temos muita gente talentosa que não pode ficar refém de uma lei, que apesar de bem intencionado, trará muitos prejuízos.
Fizeram algo semelhante na alemanha, em 2007, o que foi criticado internacionalmente. E olhe que o regime jurídico alemão permite uma maior liberdade na interpretação das leis que o regime Brasileiro. Na Alemanha, o texto de justificativa dos projetos de lei é sempre levado em conta pelos juízes na hora de proferir suas sentenças. No Brasil, apesar da doutrina da “intenção do legislador”, somos muito atrelados à exclusividade do texto legal, especialmente em matérias penais.
As profissões na área da Computação não são regulamentadas e isso trouxe inúmeras vantagens para nosso país em termos de crescimento tecnológico e econômico, através da liberdade dada ao conhecimento. Querem agora regulamentar (através de uma proibição penal) todas as atividades relacionadas a um tipo específico de software, antes de sequer a profissão estar regulamentada! Como se isso fosse trazer mais segurança. Isso tratá mais INSEGURANÇA e invializará um segmento econômico fundamental para a segurança nacional.
Sou contra este dispositivo e convido todos que também o sejam a criar uma força de oposição e protesto contra ele.
Pingback: Nova Lei de crimes cibernéticos não puniria os transgressores do caso Carolina Dieckman | Blog do Pablo Ximenes
Pingback: Lei de cibercrimes é aprovada com vitória para a comunidade de segurança da informação | Blog do Pablo Ximenes
Pingback: Lei de crimes cibernéticos é aprovada com vitória para a comunidade de segurança da informação | Hacker na Mídia
Pingback: Nova Lei de Crimes Cibernéticos não puniria os transgressores do caso Carolina Dieckmann | Hacker na Mídia
Pingback: Lei de crimes cibernéticos não punirá hackers do bem - Empresa de Tecnologia da Informação do Ceará