Sunday, 29 December 2013
Cibercriminoso usa telefonia para roubar dados pessoais no Brasil
Isso significa que a cada 13 segundos, um criminoso se fez passar por uma pessoa para fechar negócios ou obter financiamento com a intenção de ganhar dinheiro deixando a dívida para quem teve os dados pessoais roubados. As ações foram mais frequentes no comércio varejista com 7,2% das tentativas. Neste segmento, houve alta de 3,9% sobre outubro, mês que já tinha apresentado um avanço de 10,5%.
Quase a metade dos casos, 45,8%, foi verificada no setor de telefonia com 91.673 registros. No mesmo mês do ano passado, ocorreram 38,8% do total de casos. Na área de serviços, que engloba construtoras, imobiliárias, seguradoras e serviços em geral (salões de beleza, pacotes turísticos etc.) foram registradas 55.535 ações ou 27,8% do total, alcançando o maior volume em um mês desde janeiro.
Essa área era a modalidade mais escolhida pelos criminosos, em novembro do ano passado, quando atingia 34,4% dos casos. Já no setor bancário, terceiro no ranking, ocorreram, em novembro último 35.096 tentativas, correspondente a 17,6% do total. Essa proporção ficou levemente acima da apurada em igual mês do ano passado (17,1%).
No acumulado de janeiro a novembro foram registradas 2,01 milhões de tentativas de fraude ante 1,95 milhão, no mesmo período de 2012. A Serasa Experian alerta ao consumidor para ficar mais atento durante as compras de final de ano. Na mira dos criminosos estão, principalmente, os dados pessoais fornecidos pelos consumidores em cadastros na Internet. A Serasa recomenda cautela antes de enviar esses dados, verificando sempre a idoneidade e a segurança dos sites.
Entre as ações dos golpistas estão a compra de telefone com o uso de falsa identidade para que o criminoso consiga comprovar endereço e possa abrir contas em bancos, ter acesso à talões de cheque, cartões de crédito e fazer empréstimos bancários.
Fonte: Agência Brasil
Wednesday, 18 December 2013
Recuperação de desastres: questão que ainda intriga muitas empresas e exige medidas urgentes
Em face desse risco, não é raro saber de empresas que tiveram seus negócios paralisados por vários dias por não ter um plano de contingência.
A continuidade dos negócios é tão essencial ao êxito das empresas que já não pode ser uma responsabilidade exclusiva do departamento de TI. Podendo perder tempo, dinheiro e credibilidade devido a períodos de interrupção dos negócios, muitas empresas têm recorrido a serviços estratégicos de continuidade.
Principalmente aquelas que têm grande parte do negócio baseada na web e dependem de um serviço disponível no sistema 24x7x365. Adotar programas de gestão de continuidade e de recuperação em nível global passa a ser questão de vida ou morte para esse tipo de empresa.
Um dos recursos mais importantes como parte da estratégia de recuperação de desastres são os serviços em nuvem. Ao invés de se apoiar num software local, os recursos disponíveis no computador contam com respaldo de um programa instalado em algum lugar na internet, num servidor por sua vez instalado em um data center gerenciado por especialistas em tecnologia. Serviços em nuvem, ou cloud computing, são um modelo de negócio em que o cliente tem acesso a uma variedade de serviços, aplicações e soluções garantidos pelo provedor. A estratégia é permitir que se tenha acesso aos dados da empresa de forma remota. Essa possibilidade vem se fazendo presente cada dia mais e certamente está revolucionando não só os negócios, mas o próprio ambiente de trabalho.
Uma das principais qualidades da configuração em nuvem é permitir upgrades de maneira rápida, fácil e sem interrupções. Além disso, o comprometimento de determinada infraestrutura não chega a afetar o conjunto, já que é possível passar a acessar os dados recorrendo a outra plataforma.A recuperação de desastres baseada em cloud permite às empresas baixar custos operacionais em contratos mais flexíveis. Com isso, mais e mais empresas que antes não conseguiam fazer investimentos de grande monta na prevenção desse tipo de problema agora se sentem encorajadas a tomar essa atitude preventiva tão assertiva.
Tambe merece atenção a replicação do banco de dados. Trata-se de uma cópia eletrônica de dados de um local para outro, permitindo que todos os usuários compartilhem o mesmo nível de informação. Um sistema de banco de dados distribuído, por exemplo, garante que alterações, adições e exclusões envolvendo dados em qualquer local sejam automaticamente replicadas em todos os outros locais, permitindo que cada usuário tenha acesso a dados consistentes.
Além dessa importante vantagem, o serviço permite analisar o ambiente do cliente e definir, de acordo com a metodologia de melhores práticas, uma solução de arquitetura robusta, confiável, performática, escalável e de alta disponibilidade, a fim de adequar as necessidades de negócios do cliente da melhor forma possível.
Mais um recurso, ainda, tem tornado a recuperação de desastres mais fácil: a virtualização do servidor – que representa um relevante ganho de flexibilidade. A virtualização vem se provando a grande tendência das empresas nos últimos anos. Equipamentos físicos passam a se comportar como software e a permitir acesso remoto a pastas, programas, e-mails etc. Um relevante corte de custos e o redirecionamento de recursos humanos para o core business da empresa somam-se às vantagens.
A virtualização permite às empresas visualizar todo o centro de informações que, por sua vez, podem ser rapidamente ativadas parcial ou totalmente quando necessário. Com isso, o que poderia levar dias para ser recuperado pode ser feito em questão de horas nos casos mais críticos.
Adriano Filadoro, diretor de tecnologia da empresa Online Data Center
Symantec divulga previsões de segurança da informação para 2014
Segundo Otto Stoeterau, especialista de segurança da Symantec, é importante que as pessoas entendam que o perigo online pode se esconder em qualquer parte, até mesmo em comportamentos inocentes. "O segredo para qualquer previsão no segmento de segurança virtual é procurar ouvir o sussurro ou ver aquilo que parece estar escondido. Para o próximo ano, enxergo que as pessoas finalmente começarão a agir a favor de suas privacidades online", pontua o especialista.
Veja abaixo as quatro principais tendências:
As pessoas finalmente tomarão medidas para manter suas informações seguras
Durante este ano, questões relacionadas à privacidade foram manchete e serviram para despertar as pessoas e empresas sobre a quantidade de informações compartilhadas pela Web todos os dias e no mundo todo. Por isso, será comum encontrar softwares de segurança – novos ou já existentes – que contemplem a proteção de informações pessoais como uma característica principal do produto. Além disso, como parte da precaução online, a Symantec aponta um aumento no número de usuários adotando codinomes e nomes falsos em redes sociais. Neste contexto, os adolescentes liderarão este comportamento e facilitarão o encontro na obscuridade da Internet.
Nenhuma rede social é pequena demais para ser ignorada pelos criminosos
Qualquer rede social que atraia usuários também chamará atenção dos golpistas e criminosos virtuais. Infelizmente, os usuários não estão protegidos completamente em meios colaborativos, por mais que acreditem estar se relacionando apenas com parentes e amigos. É muito importante que as pessoas sempre sigam as boas práticas de segurança, inclusive nas mídias sociais. Por exemplo, verificar a procedência da rede social antes de oferecer qualquer tipo de informação; manter o nome completo e endereço em sigilo quando acessa um perfil social; e antes de postar qualquer tipo de informação pessoal ou profissional e fotos pessoais pense duas vezes, afinal, nunca sabemos quem está vendo a sua identidade virtual.
A Internet nas coisas se torna alvo das vulnerabilidades
A adoção crescente de dispositivos móveis conectados à Internet é o imã para os cibercriminosos. Este cenário faz com que pesquisadores na área de segurança descubram ataques recentes contra TVs inteligentes, equipamentos médicos e câmeras de segurança, por exemplo, todos conectados à Web. No mundo real, babás eletrônicas foram alvos e houve relato de que o tráfego foi interrompido em um importante túnel de Israel por conta de hackers que teriam acessado sistemas online a partir de câmeras de segurança.
A Symantec também acaba de descobrir que um novo vírus, o Linux. O malware é capaz de atacar uma variedade de pequenos dispositivos habilitados para a Internet, entre eles, roteadores domésticos, conversores de TV Digital, câmeras de segurança e sistemas de controle industrial. Esta descoberta demonstra que o cenário de ameaças virtuais pode estar caminhando para possíveis invasões de qualquer equipamento conectado à Web à Internet, isto é, além de smartphones, tablets e desktops.
Por isso, fornecedores de software de segurança alertam constantemente às empresas e pessoas que além de construírem redes integradas de comunicação e conectividade, é importante que haja a proteção destes ambientes virtuais aliados a comportamentos virtuais seguros. Afinal, qualquer vulnerabilidade basta para uma invasão cibernética.
Aplicativos móveis podem trair o usuário
Os smartphones fazem parte da vida dos usuários, tanto que 48% das pessoas, segundo pesquisa do Norton Report 2013, divulgados em outubro de 2013, dorme com seus dispositivos. A importância é tamanha que as pessoas podem ser facilmente enganadas por eles. Recentemente, a Symantec relatou que um App garantiria, supostamente, a maior quantidade de "curtir" em publicações no Instagram. Bastava que o usuário oferecesse o login e senha a um cibercriminosos russo. Ao todo, mais de 100 mil pessoas não viram problema nenhum neste comportamento. Esta alta confiabilidade dos aparelhos móveis será o foco dos criminosos virtuais em 2014.
Thursday, 12 December 2013
Varejo online perde até US$ 8 mil por minuto com site inativo devido a ameaças na web
Segundo a pesquisa, existem atualmente nove ameaças identificadas pelos varejistas. Dentre elas estão os ataques de negação de serviço (DDoS), os quais são esperados por 83% dos varejistas no período de compras de fim de ano. O relatório ressalta que, além do custo direto da perda de vendas devido ao tempo de inatividade, este tipo de ameaça pode resultar na perda da confiança do consumidor e do valor da marca, gerando impacto no negócio.
Os comerciantes também estão suscetíveis a fraudes em aplicativos, visto que criminosos podem criar desde aplicativos falsos com aspecto de legitimo até disfarçar ataques em mensagens de descontos e promoções. Para 72% dos varejistas é difícil detectar os aplicativos que armazenam fraudes. Outro tipo de fraude que aparece no período é a chamada fraude do clique, que ocorre quando cibercriminosos criam links falsos e enviam aos consumidores em formato de anuncio publicitário ou promoção de sites. Segundo o relatório, 74% dos varejistas indicam que essa atividade também é difícil de detectar.
Outra ameaça destacada pelo estudo refere-se ao malware em dispositivos móveis e roubo de credenciais. Somente nos Estados Unidos, a previsão é que as compras por meio de canais móveis representem mais de 16% em todo comercio eletrônico. Desta forma, pode aumentar a quantidade de malwares, que são softwares maliciosos, capazes de capturar credenciais de contas infiltrando-se nos tablets e smartphones dos consumidores.
Ainda de acordo com os participantes da pesquisa, outros três tipos de fraudes são difíceis de detectar. São elas a fraude do cupom eletrônico, a fraude da carteira digital e a fraude da nova conta. Na fraude do cupom eletrônico um criminoso cibernético contorna a política de preços de um varejista online. O criminoso escolhe um item que tenha grande desconto, o coloca no "carrinho de compras" e adia o pagamento. Posteriormente, ele retorna ao carrinho de compra depois de obter um cupom eletrônico e aplica o desconto ao preço final de compra. Assim, ele obtém o item por um valor muito abaixo do custo do varejista.
A carteira eletrônica ou carteira digital é uma conta de pagamento online que o consumidor pode usar para fazer depósitos e pagar por bens em milhares dos principais sites. Por ser uma modalidade nova de pagamento, os cybers criminosos podem se aproveitar das suas vulnerabilidades para desenvolver novos tipos de fraude.
Já a fraude de nova conta, geralmente, ocorre quando há ofertas de uma promoção popular ou sorteios. Os criminosos cibernéticos aproveitam botnets, softwares que trabalham de maneira automática, para sobrecarregar o site com inscrições fraudulentas de novas contas. Assim, aumentam suas chances de ganhar o prêmio.
Ataques em outubro
O mês de outubro foi recorde em número total de ataques de phishing — tipo de fraude eletrônica quando cibercriminosos tentam adquirir informações sigilosas de usuários na internet —, com 62.105 registros em todo mundo, o que representa um crescimento de 35% em relação a setembro. Estes ataques resultaram em um prejuízo de US$ 827 milhões para as organizações.
O Brasil está na lista dos quatro países que mais tiveram empresas vítimas de fraudes digitais no mundo. O Relatório de Fraude da RSA identificou que o país foi responsável por 3% de todos os ataques de phishing as empresas. O ranking foi liderado pelos Estados Unidos (32%), seguido do Reino Unido (9%), da Índia (7%) e da França (3%), que ficou empatada com o Brasil.
Wednesday, 11 December 2013
Procon-SP pede esclarecimentos à Vivo sobre falhas na Baixada Santista
Segundo o órgão de proteção ao consumidor, a empresa terá que explicar os motivos das falhas, quais foram os serviços afetados, número de clientes prejudicados e quais providências serão adotadas para a devida compensação dos usuários, independentemente da solicitação destes.
Em nota, o Procon-SP afirmou que essas informações “já deveriam ter sido prestadas voluntariamente pela empresa por meio de todos os canais disponíveis”.
— Especialmente por meio do SAC (Serviço de Atendimento ao Consumidor), em atenção ao princípio da transparência que deve nortear as relações de consumo.
Se ficarem comprovadas irregularidades, a empresa poderá ser penalizada nos termos do Código de Defesa do Consumidor.
Direitos do consumidor
A partir de 30 minutos de interrupção do serviço, o consumidor tem o direito ao abatimento proporcional do valor da assinatura (um dia de interrupção = um dia de desconto). Se o problema atingir, no mínimo 10% da base de clientes, a operadora (de telefonia fixa ou móvel) deve fazer ampla divulgação sobre o ocorrido.
Caso o abatimento não seja concedido, procure um órgão de defesa do consumidor ou a Anatel e registre uma reclamação.
O consumidor que tiver dúvidas ou quiser fazer uma reclamação, pode procurar o Procon de sua cidade ou um dos canais de atendimento da Fundação.
Saturday, 7 December 2013
Google não terá de indenizar ofendido que foi direto à Justiça, sem pedir remoção do conteúdo
Com esse entendimento, a Terceira Turma do Superior Tribunal de Justiça (STJ) afastou a condenação do Google Brasil ao pagamento de indenização por danos morais a uma pessoa que se sentiu ofendida por conteúdo publicado no Orkut.
Consta no processo que, após comprar equipamento eletrônico por meio do site Mercado Livre, um consumidor teve seus dados pessoais utilizados de forma ilegal, que o vinculou à empresa Import Star. Depois disso, ele passou a receber ligações telefônicas e e-mails de pessoas desconhecidas, que o identificavam como responsável pela empresa vendedora e cobravam dele o envio de aparelhos eletrônicos.
Além disso, passou a receber mensagens em sua página no Orkut, mantida pelo Google, e até mesmo foi criada uma comunidade nessa rede social dedicada exclusivamente a ofendê-lo e ameaçá-lo devido a supostos casos de estelionato praticados pela Import Star.
Sem liminar
Em vez de pedir ao Google que retirasse o material considerado ofensivo, o consumidor entrou na Justiça pleiteando a exclusão da comunidade do Orkut, além de indenização por danos materiais e morais. Ele chegou a pedir antecipação de tutela para que o material fosse retirado imediatamente da internet, mas o juiz deixou para analisar o pedido após a manifestação da defesa. Não houve decisão sobre a liminar, pois na sequência o juiz optou por julgar a lide antecipadamente.
O juízo de primeiro grau condenou o Mercado Livre a pagar R$ 1.938 de indenização por danos materiais, o Google a excluir os comentários ofensivos da comunidade do Orkut e ambos a pagar danos morais, solidariamente, no valor de R$ 30 mil.
Em apelação ao Tribunal de Justiça de Mato Grosso (TJMT), o Google afirmou que assim que soube da ordem judicial para remoção da comunidade, tomou providências para cumpri-la, contudo, constatou que o perfil do usuário já tinha sido excluído por ele mesmo. O TJMT negou provimento ao recurso.
No STJ, a empresa alegou que não foi comunicada acerca do conteúdo ofensivo antes do ajuizamento da ação e que isso "desnatura por completo qualquer tipo de atribuição de responsabilidade civil".
Remoção preventiva
De acordo com a ministra Nancy Andrighi, relatora do recurso especial, os provedores de conteúdo devem garantir o sigilo, a segurança e a inviolabilidade dos dados cadastrais de seus usuários e, ainda, o funcionamento e a manutenção das páginas que contenham os perfis e comunidades desses usuários.
Contudo, "por não se tratar de atividade intrínseca ao serviço prestado, não se pode reputar defeituoso, nos termos do artigo 14 do Código de Defesa do Consumidor, o site que não examina e filtra o material nele inserido", disse.
Segundo Andrighi, o dano moral decorrente de mensagens com conteúdo ofensivo postadas no site "não constitui risco inerente à atividade dos provedores de conteúdo, de modo que não se lhes aplica a responsabilidade objetiva prevista no artigo 927, parágrafo único, do Código Civil de 2002".
Por outro lado, a ministra mencionou que a Terceira Turma já pacificou o entendimento de que, ao ser comunicado de que determinada publicação é ilícita ou ofensiva, o provedor deve removê-la preventivamente no prazo de 24 horas para verificar a veracidade das alegações do denunciante e, conforme o caso, excluí-la ou restabelecê-la, "sob pena de responder solidariamente com o autor direto do dano em virtude da omissão praticada" (REsp 1.406.448).
Ação ou omissão
No caso julgado agora, a relatora concluiu que não houve ação ou omissão por parte do Google que justifique a sua condenação por danos morais. "Embora o provedor esteja obrigado a remover conteúdo potencialmente ofensivo assim que tomar conhecimento do fato, ao optar por submeter a controvérsia diretamente ao Poder Judiciário, a parte induz a judicialização do litígio, sujeitando-o, a partir daí, ao que for deliberado pela autoridade competente", declarou Andrighi.
Ela mencionou que a primeira determinação de exclusão das páginas do Orkut veio da sentença e que o Google agiu no sentido de cumprir a ordem judicial, "somente não o fazendo em virtude da superveniência de fato impeditivo, consistente na remoção do perfil pelo próprio usuário".
Diante disso, Andrighi concluiu que, "mesmo tendo conhecimento, desde a citação, da existência de conteúdo no Orkut supostamente ofensivo ao autor, ausente ordem judicial obrigando-a a eliminá-lo, não há como recriminar a conduta da Google".
Tuesday, 3 December 2013
As trancas da Lei de Internet
Interessante notar que, desde o início das discussões, os pontos de discórdia se confundem com o tripé de sustentação da nova lei, qual seja: (i) a neutralidade de rede; (ii); a responsabilidade civil na internet; e (iii) a privacidade de dados pessoais e comunicações. Discorreremos sobre cada um destes, com breve investigação das polêmicas que os cercam, a seguir:
Neutralidade de rede
A neutralidade de rede é o princípio pelo qual o tráfego na internet não pode sofrer, exceto por justificativas técnicas e para a priorização de serviços de emergência, qualquer discriminação ou tratamento não isonômico. Bloqueios, monitoramento, filtros ou análise de conteúdos constituem exceções, justificando-se apenas para assegurar o bom funcionamento da rede.
Por este princípio, os provedores de conexão à internet não podem fazer distinção entre os pacotes de dados cursados na Internet. Por exemplo, ao prover a conexão a determinado usuário, o provedor não poderia, a um só tempo, permitir o tráfego de dados de e-mail e bloquear pacotes de vídeo (sob a justificativa de serem mais pesados). Colocado de outra forma, para que seja livre, a Internet deve ser cega no que respeita ao conteúdo que nela trafega.
O princípio é basilar para os provedores de aplicação (as pontocom), indústria que nasceu em ambiente de ausência de regulação e total liberdade. Já da perspectiva dos provedores de conexão (as teles), permitir o uso indiscriminado da conexão sem distinção do perfil do usuário gera questões de uso ineficiente, na medida em que não haveria correspondência adequada entre utilização e contraprestação pelo usuário.
Após 2 anos de trâmite legislativo, o impasse passou a ser menos conceitual e voltou-se mais para a discussão de detalhes no texto proposto. Sugerem os provedores de conexão que a redação atual do artigo 9o abre margem para interpretações dúbias, na medida em que permite o entendimento de que não será possível nem mesmo a oferta atual de planos de serviços, que são indiferentes ao conteúdo trafegado e fazem distinção apenas no que respeita à quantidade de pacotes trafegados e a velocidade de conexão.
Limites da responsabilidade do provedor de aplicações
Nesse ponto, a questão passa pela falta de previsão legislativa quanto à responsabilização civil (ou isenção de responsabilidade) do provedor de aplicações pela veiculação de conteúdo ilegal ou ofensivo a direito de terceiros. O Projeto vem para preencher a lacuna da lei.
A aprovação do Marco Civil terá reflexos em diversas áreas do Direito, tais como: (i) o direito autoral (e.g. disponibilização de músicas, vídeos e textos); (ii) propriedade industrial (e.g. venda de produtos falsificados); (iii) direitos de imagem (e.g. publicação de material de conteúdo pessoal); (iv) liberdade de expressão (e sua contrapartida, e.g. material de conteúdo ofensivo); e (v) questões tuteladas também pelo Direito Penal (e.g. hacking, malware, conteúdo pedófilo).
É na questão dos direitos autorais e conexos que alguma discordância ainda persiste. Pelo texto proposto, os provedores de aplicação não serão, a priori, responsáveis civilmente por danos causados por conteúdo gerado por terceiros. Somente passam a ser responsabilizados caso descumpram ordem judicial específica determinando a retirada do conteúdo do ar.
As empresas de mídia haviam conseguido inserir na proposta que antecedeu o texto atual (divulgado no início deste mês),exceção à necessidade de ordem judicial especificamente para conteúdo protegido por direito autoral. Pela exceção, o provedor de aplicação passaria a ser passível de responsabilização, na medida em que, notificado da existência de conteúdo protegido postado ilegalmente, optasse por não retirá-lo do ar (o sistema conhecido como notice and takedown). Pela nova redação, a exceção foi mantida como princípio, mas sua efetividade dependerá de previsão legal específica (muito provavelmente será tratada na nova lei de direito autoral). As empresas de mídia pleiteiam o texto retorne à redação original.
Privacidade
Foi aqui que a última versão do Projeto apresentou mais modificações. As denúncias de espionagem dos Estados Unidos contra o Governo e empresas brasileiras provocaram o reforço do texto no que respeita à garantia de privacidade dos usuários da internet. Princípios relativos ao direito à privacidade, antes concentrados em anteprojeto com a finalidade específica de proteger a privacidade de dados pessoais foram, em parte, reproduzidos no Marco Civil da Internet. Em sua inovação mais polêmica, o artigo 12 abriu a possibilidade para que o Poder Executivo determine que provedores de conexão e aplicação – este, virtualmente qualquer empresa que, a partir de oferta de aplicativo, faça uso da rede para a divulgação de seu negócio ou para qualquer outra forma de interação com seus clientes – que deem tratamento a dados pessoais ou trafeguem comunicações de internautas brasileiros fiquem obrigados instalar ou se utilizar em suas operações data centers localizados no território nacional.
Além disso, pelo novo texto, o Marco Civil (artigo 10, caput) determina que "[a] guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet [...], bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, vida privada, honra e imagem das partes direta ou indiretamente envolvidas". Já o § 2o do mesmo artigo prevê que o conteúdo de comunicações privadas somente poderá ser disponibilizado mediante ordem judicial. O Marco Civil abraçou, ainda, os princípios da necessidade (ou minimização), finalidade e consentimento, pelos quais a coleta e utilização dos dados pessoais deve ser autorizada expressamente por seu titular, restringindo-se ao mínimo necessário para que a finalidade perseguida com sua coleta e tratamento seja atingida.
Mudança talvez mais significativa foi a instituição, pelo novo artigo 13, de penalidades em decorrência da quebra de sigilo. Dentre as punições, incluem-se multa de até 10% do faturamento bruto, no último exercício e excluídos os impostos, do grupo econômico que deu causa à quebra de sigilo no Brasil e a possibilidade de suspensão temporária ou proibição de suas atividades que envolvam o processamento dados pessoais ou as comunicações via internet.
Em matéria de privacidade as discussões se dão entre governo e inciativa privada. O maior ponto de discórdia é a proposta de guarda de dados obrigatória em território nacional. A pouca efetividade da medida, somada à reação negativa de especialistas e empresários, leva a crer que seja retirada do texto que será submetido a votação.
Gustavo Artese é master of Laws (LL. M.) pela Universidade de Chicago e Advogado responsável pelas práticas de Propriedade Intelectual e Direito Digital do escritório Vella, Pugliese, Buosi e Guidoni Advogados
Monday, 2 December 2013
Reputação será moeda no mundo pós-financeiro
Nesse mundo pós-financeiro, em que a privacidade é comercializada, afirma o consultor de firmas como Microsoft e Oracle, a reputação atestada por pares ou por especialistas ganha, cada vez mais, valor de dinheiro --cobiçada por aqueles que querem vender ou trocar mercadorias, serviços ou interesses.
Folha - O sr. diz que a privacidade não é mais um direito e que há formas de lucrar abrindo mão dela. Como vê as revelações do ex-técnico de segurança do governo americano Edward Snowden sobre vigilância governamental?
Joshua Klein - É interessante ver a reação das pessoas ao volume de informações monitoradas. De muitas formas, o que o governo faz é uma extensão do que tínhamos permitido às empresas fazer.
Se você usa Gmail, já deu ao Google o direito de analisar todos os seus e-mails: com quem você fala, com que frequência, sobre o quê, que palavras usa, quantos pronomes ou adjetivos emprega, todos os documentos.
Todos os "serviços gratuitos" fazem isso --o Facebook faz, o Twitter, a Amazon-- porque permite que vendam de forma mais eficaz. O problema é que as pessoas não são realmente conscientes de que fizeram esse acordo.
Há possibilidade de voltarmos ao tempo em que as pessoas ainda tinham privacidade?
Estamos num momento de virada como sociedade. Sabíamos que havia algo estranho nesse acordo: estávamos ganhando quantidades imensas de tecnologia de graça --ou que pensávamos ser de graça-- em troca de nos dispormos a ver publicidade.
Mas esse não é o acordo de fato. O acordo é que as pessoas nos dão essas coisas e, em retribuição, temos que comprar outras. E essas empresas farão tudo para serem o mais eficazes possível e nos venderem o que puderem.
Acredito que as pessoas começaram a tomar consciência ao verem o governo fazê-lo, pois se ergueu o espectro do Grande Irmão. Vender é algo com contornos bem definidos. O problema é que esses dados podem ser usados para outras coisas.
Não há como mudar a forma de agir na internet?
Se as pessoas admitirem que fizeram um contrato faustiano e começarem a usar criptografia e forem mais cuidadosas com os contratos de licença que assinam... Se gente o bastante fizer isso, as empresas começarão a pensar: "Para termos acesso aos dados, temos que fazer um acordo aberto, mais claro".
Se isso acontecer, então, sim, vamos ver mudança. As empresas vão aceitar que os indivíduos tenham mais responsabilidade e controle sobre suas coisas. Mas acho que o mais provável é que uma minoria de pessoas faça isso --e elas terão acesso a menos serviços ou terão de pagar mais caro por eles.
E veremos mais abusos dos dados coletados.
Há uma frase de Andrew Lewis, no blog comunitário MetaFilter, sobre a internet: "Se você não está pagando pelo produto, você é o produto que está sendo vendido".
[Risos] Sim. O objetivo da grande maioria dos serviços on-line hoje não é fornecer algo divertido ou interessante. Isso é acessório. O objetivo real é vender de forma eficaz.
"Reputation Economics" também reflete isso?
Um dos pontos do livro é que estamos estabelecendo plataformas, hoje, que possibilitam sistemas de troca livre das finanças. Por outro lado, as empresas grandes são cada vez mais eficientes em ganhar nosso dinheiro.
Daí a precificação hiperdinâmica: você entra on-line para comprar queijo, a empresa que vende o queijo reconhece que você tem um blog sobre isso e dá um desconto de 30%, na esperança de que você compre e depois diga algo bom do queijo.
Os indivíduos precisam agora escolher: Querem só ficar com o que é dado? Ou querem ferramentas e tecnologias que permitem que gerenciem seu valor? Creio que veremos mais da última, mas não estou certo ocorrerá.
A edição registra que você fez trabalhos para a comunidade de inteligência. O que foi?
Foi sobretudo pelo Escritório do Diretor de Inteligência Nacional, que fez um programa tipo "think tank" [centro de estudos] em que muitos colaboramos, num retiro de um mês. Foi interessante por permitir contato com algumas das mentes mais brilhantes da NSA [agência de segurança nacional], CIA [agência de inteligência dos EUA] e um "insight" sobre as capacidades que têm ou tinham.
Desde então, todos ganhamos uma consciência muito maior do que se trata [devido às revelações de Snowden].
O mais importante foi ver que aquilo tinha enorme potencial, não totalmente conhecido. Em relação ao trabalho de consultoria que presto para empresas, ficou claro que o mercado baseado em "big data" se tornaria cada vez maior. A questão já era, então, qual o efeito disso sobre o indivíduo.
O livro destaca que "quem você conhece" vale mais, hoje, do que "o que você possui".
O que isso aponta é que, cada vez mais, as plataformas on-line estão permitindo obter informações de reputação sobre as pessoas. Se eu quiser descobrir se devo emprestar meu carro a você, posso dar um Google e ver se você é digno de confiança.
Esse tipo de informação de reputação levou ao surgimento de uma economia de reputação on-line, que está mudando como os indivíduos compartilham valor.
Ou seja, o compartilhamento não é mais só financeiro. A economia de reputação me permite descobrir a pessoa para quem a troca é útil. Esse tipo de situação agora está disponível por todas essas plataformas on-line.
Esse é um aspecto. Outro é que as pessoas têm cada vez menos capacidade de alavancar suas finanças. Os sistemas financeiros vêm com problemas há muito tempo, as maiores economias do mundo estão se debatendo, então as pessoas começam a perceber: "Ei, posso entrar no Skillshare, começar a ensinar as pessoas este hobby de mergulho e conseguir dinheiro".
Você entende "hacking" como quebrar regras, em geral. O novo livro reflete essa ideia?
Sim e não. Uma das coisas que abordo é o "momento Napster" das finanças. Há um bocado de mudanças tecnológicas acontecendo agora, algumas beneficiam indivíduos, outras, empresas e outras concorrem entre si.
Onde entra a palavra "hacking"? Por exemplo, quando o Napster foi derrubado pela RIAA [Associação Americana da Indústria Fonográfica], a internet como um todo não se convenceu de uma hora para outra de que não podia mais baixar músicas de graça.
Em vez disso, foi inventado o protocolo BitTorrent [para transferência de grande volume de dados entre usuários].
Quando a RIAA começou a derrubar sites de BitTorrent, surgiram clubes de compartilhamento de arquivos e uma criptografia melhor. Essas são forças de "hacking" que sempre tivemos: as mudanças serão apoiadas e reforçadas pelas comunidades on-line, sejam ou não legais ou desejáveis pelo ambiente regulatório e financeiro.
Em "Hacking Work", de 2010, você apoia romper regras para alcançar resultados melhores nas empresas privadas.
Em todas as empresas às quais dei consultoria sobre inovação e como usar tecnologia de maneira mais eficaz e mudar modelos de negócio, via que implantar mudança ou evolução numa organização é quase impossível, porque a cultura é reativa.
Com o passar do tempo, a empresa vai ganhando uma série de regras que limitam as pessoas. Parte do que você encontra nas "start-ups" [empresas iniciantes] que as torna tão eficientes é não terem, ainda, regras. Elas fazem tudo o que for necessário para serem eficientes.
O livro não sugere jogar tudo que se sabe fora. Ele propõe encontrar instâncias específicas em que você está sendo impedido de ser mais efetivo e focar métodos alternativos para quebrar o molde e termais sucesso, ajudando a empresa e até sua carreira.
Sua série de TV para o National Geographic, "The Link", de 2012, é transmitida aqui. Ela explora conexões entre diferentes saltos tecnológicos pela história. Qual é o vínculo entre a série e o novo livro?
O programa influenciou o livro, no sentido de estarmos num momento incomum da história em que algumas mudanças terão efeitos enormes e inesperados. Estamos começando a desenvolver modelos pré-financeiros para comércio, como [a moeda virtual obtida com a cessão de poder de processamento do seu computador] Bitcoin ou o [site para aluguel e sublocação direta de apartamentos para temporadas] Airbnb.
Nos próximos 5 ou 20 anos, veremos boa parte dos dois terços da humanidade que ainda não estão na internet aparecerem on-line, e eles vão querer usar métodos mais flexíveis de comércio. Essas pessoas estão hoje em grande parte no chamado "mercado negro", que gira US$ 10 trilhões.
Nos próximos 20 anos, esse será o método majoritário de comércio do planeta.
O que acontece quando a economia do mundo é ocupada, de uma hora para outra, por uma população que não usa instrumentos financeiros tradicionais? Ela vai alavancar uma série de plataformas que, hoje, são bonitinhas e divertidas. Não sabemos como será, mas sabemos que pode ser muito desestabilizador.
RAIO-X
NOME
Joshua Klein, 39
OCUPAÇÃO
Conferencista e consultor de tecnologia
LIVROS
"Reputation Economics", 2013; "Hacking Work", 2010 (sem tradução no Brasil)
Sunday, 1 December 2013
Mais de 90% dos Escritórios e Lojas Comerciais da América Latina Terão Wi-fi em 2014
América Latina – 25 de Novembro de 2013 – Segundo o Barômetro de Mobilidade da Motorola Solutions para América Latina, a grande tendência para o ano de 2014 é que mais de 90% dos escritórios e lojas comerciais tenham redes sem fio instaladas. As empresas pesquisadas indicam que 62% das áreas de seus escritórios contam atualmente com wi-fi.
No entanto, 24% planejam ampliar ou melhorar sua infraestrutura para 2014 e 5% farão novas implementações. O estudo também indicou que 53% das lojas comerciais contam com conexão sem fio, enquanto 33% delas planejam expandir ou aprimorar as redes e 4% vão implementar novas conexões.
O Barômetro de Mobilidade da Motorola Solutions (Motorola Solutions Mobility Barometer) é um estudo que identifica os indicadores de oportunidades e desafios da mobilidade de empresas e entidades governamentais, mediante a coleta de informações diretas de organizações que estão investindo em soluções tecnológicas e em sua implantação.
A pesquisa, feita pela agência de pesquisas TNS Internacional, inclui 375 executivos-chave de TI e negócios da Argentina, do Brasil, da Colômbia e do México.
PONTOS IMPORTANTES
Atualmente, 60% das salas de conferências e áreas privadas para clientes contam com instalações de redes sem fio. O maior crescimento será no setor de suprimentos, com 8% de novas redes para o ano de 2014.
Há um alto grau de incerteza em relação aos investimentos em redes sem fio em 2013 (23%) e 2014 (43%). No entanto, as companhias que reportaram expansões e melhorias em suas redes contabilizam uma porcentagem maior.
DECLARAÇÃO
Miguel Martinez Noguerol, vice-presidente corporativo de Vendas e Operações, América Latina e Caribe
"A tendência para a mobilidade e a tecnologia sem fio está se acelerando cada vez mais, e assim o demonstra o Barômetro de Mobilidade da Motorola Solutions.
A pesquisa realizada aponta que as empresas estão investindo para expandir o alcance de suas redes sem fio. Isso porque os trabalhadores devem ter acesso a informação em tempo real para melhorar sua produtividade e permitir um novo canal de comunicação com os consumidores.
Definitivamente, o que as empresas procuram é uma rede de alta disponibilidade que ofereça segurança e, principalmente, capacidade para proporcionar mobilidade para todos".
Wednesday, 27 November 2013
Pesquisa prevê perda de privacidade, evolução do cybercrime e diversificação para novos dispositivos
A partir da massificação da Internet a questão da privacidade da informação começou a adquirir maior importância para a comunidade em geral e não apenas para especialistas na área de segurança da computação das empresas.
Embora as questões relacionadas à segurança e privacidade dos dados são armazenados na Internet começaram a partir do momento em que esta tecnologia passoua ser utilizada maciçamente, o caso NSA fez com que excedesse o número de usuários que passaram a se preocupar com esta questão.
Estatísticas confirmam essas tendências, como:
*Aumento no uso do buscador DuckDuckGo, site que oferece aos usuários um maior nível de privacidade em suas buscas, permitindo uma pesquisa de conteúdo on-line mais segura, sem que as informações do usuário sejam registradas. O tráfego médio do portal aumentou significativamente após o vazamento de informações sobre os programas de vigilância da NSA, dobrando entre maio e setembro deste ano;
*Pesquisa feita pela ComRes descobriu que de um total de 10.354 entrevistados que vivem em nove países diferentes (Brasil, Reino Unido, Alemanha, França, Espanha, Índia, Japão, Coréia do Sul e Austrália), 79% disseram estar preocupados com a sua privacidade online.
"A falta de educação online e consciência ainda é um grande obstáculo ao falar de proteção adequada as informações do usuário e privacidade na Internet. É a pessoa que decide quais as informações a publicar e o que não, portanto, também cabe a ela aumentar ou diminuir o nível de sua privacidade na Internet", disse Raphael Labaca Castro, Coordenador de Awareness & Research da ESET América Latina.
Cybercrime
Além disso, a pesquisa realizada pela equipe da ESET América Latina também mostra que as ameaças como malware continuam a ser uma das principais causas de roubo e perda de privacidade.
A quantidade de detecções, famílias e variantes para detectar códigos maliciosos desenvolvidos para sistema móvel Android continuam a crescer rapidamente. Este aumento se deve principalmente à rápida evolução tecnológica que sofreram os dispositivos móveis e a quantidade de informações que é possível armazenar e processar.
Também tem sido observada a evolução técnica de certos tipos de códigos maliciosos. A primeira categoria diz respeito às ameaças concebidas para formar botnets, isto é, as redes de computadores comprometidos (zumbis) que são manipulados por um invasor. Em segundo lugar, o malware projetado para plataformas de 64 bits, que também se tornou mais complexa nos últimos tempos. Finalmente, deve ser destacado o formato de extorsão usando malware (ransomware) como um método de obtenção de ganho financeiro tornou-se cada vez mais comum na América Latina, deixando de ser uma técnica que é aplicada quase exclusivamente em países como a Rússia e os Estados Unidos.
Diversificação de malware: a informatização de todos os tipos de dispositivos eletrônicos
A evolução da tecnologia também tem mostrado a diversificação de dispositivos "não-tradicionais" usando o sistema operacional Android. Ao longo destas linhas, produtos como as Smart TV, carros, tudo relacionado a casas inteligentes (sistemas de iluminação inteligentes, geladeiras, câmeras IP), consoles de videogame, entre outros, já estão disponíveis em alguns países. Enquanto na América Latina e em outras regiões este tipo de tecnologia não está massificada, é provável que as ameaças apareçam no futuro nesses países. Esta probabilidade aumenta quando se considera que o sistema operacional destes dispositivos é Android, algo que, tecnicamente, facilita o desenvolvimento de códigos maliciosos e outras ameaças.
Tuesday, 26 November 2013
Denunciante deve apontar URL do conteúdo a ser removido, diz STJ
O cumprimento do dever de remoção preventiva de mensagens consideradas ilegais ou ofensivas depende da indicação, pelo denunciante, do endereço virtual (URL) da página em que estiver inserido o conteúdo. A decisão é da Terceira Turma do Superior Tribunal de Justiça (STJ), ao julgar recurso especial interposto pelo Google Brasil Internet Ltda.
O caso envolveu ação de indenização, por danos morais e materiais, ajuizada pela empresa Automax Comercial Ltda. Uma página criada no site de relacionamentos Orkut, mantido pelo Google, veiculou a logomarca da empresa sem autorização, além de incluir conteúdo ofensivo à sua imagem.
A sentença determinou que o Google retirasse a logomarca não apenas da página mencionada, mas de todo o Orkut, no prazo de 48 horas, sob pena de multa diária de R$ 1.000. O Tribunal de Justiça de Minas Gerais (TJMG) manteve a sentença.
No STJ, o Google argumentou que a decisão impôs obrigação impossível de ser cumprida. Disse não possuir meios de monitorar todo o conteúdo postado no Orkut, na busca de páginas que contivessem a logomarca da empresa. Além disso, tal atitude poderia ferir a privacidade dos usuários.
A ministra Nancy Andrighi, relatora, reconheceu que não se pode exigir do provedor a fiscalização de todo o conteúdo publicado no site, não somente pela impossibilidade técnica e prática, mas também pelo risco de comprometer a liberdade de expressão.
Os provedores, segundo a ministra, não respondem objetivamente pela inserção de conteúdos ofensivos ou violadores de direitos autorais, e não podem ser obrigados a exercer controle prévio do material inserido. Nancy Andrighi esclareceu que o controle de postagens consideradas ilegais ou ofensivas é feito por meio de denúncias.
Os interessados informam o endereço da página onde está inserido o conteúdo ilegal e o provedor deve excluir aquela mensagem no prazo de 24 horas, para apreciar a veracidade das alegações.
Monday, 25 November 2013
Tentativas de fraudes em outubro contra consumidor batem recorde
Em outubro, ocorreram 224.025 tentativas. Na fraude conhecida como roubo de identidade, o tempo médio de intervalo entre uma tentativa de fraude e outra foi de apenas 12 segundos no mês, aponta o estudo. Nesse tipo de ocorrência, dados pessoais são usados por criminosos para firmar negócios sob falsidade ideológica ou mesmo obter crédito com a intenção de não honrar os pagamentos.
O recorde mensal anterior tinha sido registrado em julho, quando foram identificadas 214.793 tentativas.
Segundo a Serasa, entre janeiro e outubro deste ano, foram 1,81 milhão de tentativas de fraude ante 1,76 milhão de registros nos primeiros 10 meses de 2012. No mesmo período de 2011, ocorreram 1,63 milhão de tentativas.
A telefonia respondeu por 49,3% do total das investidas contra o consumidor realizadas em outubro, alta em relação aos 40,2% registrados pelo setor no mesmo mês de 2012.
"O recorde registrado em outubro decorre de um efeito sazonal da fraude observado próximo ao Dia das Crianças. Neste período, o risco de fraude tende a ser maior", explicou a Serasa.
O indicador mostra que, em outubro, lideraram os registros o setor de telefonia, com 110.470, representando 49,3% do total. No mesmo mês de 2012, o setor respondeu por 40,2% do total.
O setor de serviços – que inclui construtoras, imobiliárias, seguradoras e serviços em geral (salões de beleza, pacotes turísticos etc.) – teve 59.743 registros, equivalente a 26,7% do total, o maior valor mensal do ano até agora. No mesmo período no ano passado, este era o setor que mais sofria tentativas de fraudes, respondendo por 28,6% das ocorrências.
O setor bancário é o terceiro do ranking, com de registros em outubro de 2013. Embora não tenha sido recorde histórico, bancos e financeiras atingiram 36.411 tentativas, 16,3% do total, o maior valor em 12 meses. No mesmo período de 2012, o setor respondeu por 22,6% dos casos.
Recomendações da Serasa para evitar fraudes:
• Não fornecer dados pessoais para pessoas estranhas;
• Não fornecer ou confirmar suas informações pessoais ou número de documentos pelo por telefone, tomando cuidado com promoções ou pesquisas;
• Não perder de vista seus documentos de identificação quando solicitados para protocolos de ingresso em determinados ambientes ou quaisquer negócios; do mesmo modo, não deixar que atendentes de lojas e outros estabelecimentos levem seus cartões bancários para longe de sua presença sob a desculpa de efetuar o pagamento.
• Tomar cuidado ao digitar a senha do cartão de débito/crédito na hora de realizar pagamentos, principalmente na presença de desconhecidos.
• Não informar os números dos seus documentos quando preencher cupons para participar de sorteios ou promoções de lojas;
• Não fazer cadastros em sites que não sejam de confiança; cuidado com sites que anunciam oferta de emprego ou promoções. Fique atento às dicas de segurança da página, por exemplo, como a presença do cadeado de segurança;
• Cuidado com dados pessoais nas redes sociais que podem ajudar os golpistas a se passar por você, usando informações pessoais, como por exemplo, signo, modelo de carro, time por que torce, nome do cachorro etc.;
• Manter atualizado o antivírus do seu computador, diminuindo os riscos de ter seus dados pessoais roubados por arquivos espiões;
• Evitar realizar qualquer tipo de transação financeira utilizando computadores portáteis conectados em redes públicas de Internet.
Friday, 22 November 2013
Operadoras de celular questionam norma sobre fornecimento de dados de clientes
A Acel ajuizou ação direta de inconstitucionalidade (ADI 5.063), com pedido de liminar, contra os artigos 15, 17 e 21 da lei, sob o argumento de que a matéria não poderia ser regulamentada por meio de lei ordinária, mas por lei complementar aprovada por quórum qualificado nas duas Casas do Congresso Nacional, conforme prevê a Constituição Federal.
A Lei 12.850 define organização criminosa e dispõe sobre a investigação criminal, os meios de obtenção da prova, infrações penais correlatas e o procedimento criminal. O artigo 15 permite aos delegados e membros do Ministério Público a requisição às empresas de telefonia de dados cadastrais de pessoas investigadas como qualificação pessoal, filiação e endereço, sem autorização judicial.
Já o artigo 17 determina que operadoras de telefonia deixem à disposição dessas autoridades os registros de ligações locais, interurbanas das pessoas investigadas pelo prazo de cinco anos. Em ambos os dispositivos, a associação alega que há violação ao artigo 5º, inciso X, da Constituição, que trata da inviolabilidade do direito à intimidade do indivíduo. Quanto ao artigo 21, a Acel afirma que a imposição de pena de seis meses a dois anos de reclusão mais multa pela omissão dos dados cadastrais fere o princípio constitucional da proporcionalidade.
Para a Acel, a norma, ao permitir que o delegado de polícia e o Ministério Público possam requisitar "quaisquer informações, documentos e dados pertinentes à investigação criminal, sem que haja ponderação judicial que determine esta medida", afronta o princípio constitucional de proteção à privacidade e ao sigilo das comunicações.
Considerando-se a relevância da matéria, o relator da ação, ministro Gilmar Mendes, adotou o rito abreviado previsto no artigo 12 da Lei 9.868/1999 (Lei das ADIs). Dessa forma, a ação será julgada pelo plenário do STF diretamente no mérito, sem prévia análise do pedido de liminar. O relator requisitou informações à Presidência da República e ao Congresso Nacional, a ser prestadas no prazo de dez dias. Em seguida, determinou a remessa dos autos, sucessivamente, ao advogado-geral da União e ao procurador-geral da República, para que se manifestem no prazo de cinco dias.
Thursday, 21 November 2013
Privacidade como diferencial competitivo
Nesses últimos meses um dos assuntos mais comentados da mídia foi a espionagem executada pela NSA e pelo governo americano. Além de autoridades e políticos brasileiros, empresas como a Petrobrás, tiveram seus dados monitorados e provavelmente analisados.]
O ponto é que, apesar de toda repercussão que fato gerou e está gerando, isso não é uma novidade para muitos e já foi apresentado até em livros de ficção, como Fortaleza Digital, de Dan Brown.
Espionagem eletrônica é uma técnica utilizada há anos, algo natural nesse meio, pois estamos presenciando uma migração maciça das informações que anteriormente estavam suportadas e acondicionadas em meios físicos, tais como papeis, gavetas, armários e para o suporte eletrônico, que agora, possibilita o acondicionamento dessas informações em banco de dados, sistemas de armazenamento de arquivos na nuvem, discos rígidos e removíveis, entre outros.
Essa migração, por um lado, trás reduções de custos e oportunidades para as pequenas e médias empresas, que atualmente não precisam investir em recursos computacionais e de telecomunicação como, por exemplo, servidores, links de dados etc, agora podem ter todos esses dispositivos disponibilizados através de serviços na nuvem.
Por outro lado, essa facilidade representa um grande risco para empresas que precisam preservar o sigilo de informações estratégicas e que poderiam comprometer seu diferencial no mercado atual ou até expor clientes e parceiros.
Existe um mercado e profissionais especializados em espionar e até roubar informações sensíveis, e apesar da repercussão referente à espionagem que a Petrobrás sofreu, inúmeras outras empresas já sofreram esse tipo de ação, algo que está se tornando cada vez mais comum.
Em 2010, Neil MacDonald, vice-presidente da Gartner, havia dito que 75% das empresas estavam sendo espionadas, outro estudo feito pela Kroll, em 2010, revelava que 4 entre 10 empresas tiveram dados importantes roubados por crackers.
Com isso, apesar da dimensão na qual a NSA colocou a espionagem eletrônica, a técnica já vem sendo utilizada há anos, podendo trazer grandes prejuízos para as empresas, seja tornando pública informações confidenciais ou entregando essas informações a empresas concorrentes.
E a pergunta principal é: estamos preparados para esse novo tipo de espionagem?
As empresas estão se adaptando a esse novo cenário, onde as informações agora estão mais susceptíveis a ataques e podem ser mais facilmente copiadas e roubadas?
Como estamos protegendo as informações sensíveis da empresa?
Há a algum tempo visitei um potencial cliente e nessa ocasião ele havia dito que estava vivendo um momento muito importante, pois a empresa estava crescendo rapidamente devido a um produto desenvolvido para atender um determinado segmento do varejo, que só eles haviam investido e estavam colhendo os frutos desse investimento.
Nesse momento eu havia percebido que ele tinha um grande time de desenvolvimento e que todos utilizam notebooks para executar suas atividades.
Assim, não resisti em perguntar como ele protegia o seu produto principal e, para meu espanto, não existia qualquer controle ou proteção com esse objetivo.
Os desenvolvedores frequentemente trabalhavam home office e esse era até um diferencial da empresa, desta forma eles podiam levar nos notebooks o código fonte do produto. Não existia qualquer mecanismo de criptografia destinado a proteger as informações transportadas e era comum o uso de serviço de armazenamento de arquivos na nuvem destinados a permitir o transporte desses códigos.
A empresa também permitia o uso de sistemas de mensagem instantânea, redes sociais, e-mails particulares, tudo sem qualquer monitoramento eficiente.
A minha conclusão foi, realmente a empresa estava vivendo aquele momento virtuoso talvez por sorte e seu negócio poderia estar gravemente ameaçado, pois qualquer um poderia ter acesso a esses códigos e com um investimento muito menor colocar um produto concorrente, já que toda a pesquisa e desenvolvimento havia sido feito pela empresa.
Assim, precisamos responder as simples perguntas, mas realmente importantes, com a finalidade de sabermos se estamos realmente em risco.
Qual o impacto de um vazamento das informações sensíveis da empresa?
Como estou protegendo essas informações?
Com isso, tenho convicção que, se fizermos uma avaliação das empresas brasileiras, vamos perceber que a NSA não precisou de muito esforço para monitorar as autoridades e os crackers não estão tendo muita dificuldade em vazar informações sensíveis, comprometendo a competitividade e os diferenciais estratégicos dessas empresas.
Eder Alvares Pereira de Souza, consultor Sênior em Segurança da Informação pela e-Safer. Profissional com aproximadamente 15 anos de experiência na área de Infraestrutura de TI e Segurança da Informação. Formado em Ciências da Computação pela FAC-FITO, pós-graduado em Segurança da Informação pelo IBTA, com MBA em Gestão Empresarial pela FGV e Mestrando em Engenharia de Software no IPT/USP.
Pesquisa global da Fortinet mostra atitudes da geração Y contra políticas corporativas de segurança
A Fortinet publicou uma pesquisa global revelando o crescimento contínuo de funcionários da geração Y violando as políticas corporativas que regem o uso de dispositivos próprios, de contas pessoais de armazenamento em nuvem e de novas tecnologias, tais como relógios inteligentes, Google Glass e carros conectados.
Os resultados de uma pesquisa independente com 3.200 funcionários de 20 países com idades entre 21 e 32 anos realizada em outubro de 2013, mostram um aumento de 42% na iniciativa de quebrar as regras em comparação a uma pesquisa semelhante da Fortinet realizada no ano passado.
Quatro países latino-americanos foram incluídos no estudo deste ano: Brasil, Chile, Colômbia e México.
As respostas dos participantes latino-americanos apresentaram comportamento semelhante em relação à amostra global, no entanto, havia certas áreas em que os dados da América Latina destacaram-se dos demais.
Forte tendência à violação
Apesar do otimismo dos entrevistados sobre a disposição para uma política BYOD, com 45% concordando que ela os autoriza a utilizar seus dispositivos, 51% da amostra global afirmou que violaria qualquer política em vigor que proibisse o uso de dispositivos pessoais no trabalho ou para propósitos de trabalho.
Esta tendência de ignorar medidas destinadas a proteger o empregador e o empregado ocorre igualmente em outros domínios de uso pessoal de TI. Cerca de 36% dos entrevistados que utilizam seu armazenamento em contas pessoais em nuvem (por exemplo, DropBox ) para fins de trabalho disseram que quebrariam qualquer regra que visasse impedi-los.
Ainda que o percentual de funcionários latino-americanos dispostos a violar as políticas de BYOD (45%) seja ligeiramente menor do que o índice global, é interessante destacar que, ao contrário da amostra total que indica que as empresas com políticas em vigor "os autoriza" a utilizar seus dispositivos, na América Latina 55% dos entrevistados afirmaram que a empresa na qual trabalham não tem uma política corporativa definida gerenciando o uso de dispositivos pessoais no trabalho.
Isso representa uma oportunidade para as empresas educarem seus funcionários sobre a importância de tais políticas e sobre o eventual impacto negativo ao quebrarem essas medidas de segurança. Isto é ainda mais relevante considerando-se o fato de que 64% dos entrevistados latino-americanos disseram que usam seus próprios dispositivos pessoais para fins de trabalho, o que representa uma quantidade maior do que a amostra global que foi de 44%.
Contas pessoais
Em nível global, 89% da amostra tem ao menos uma conta pessoal em um serviço de armazenamento em nuvem com o DropBox representando 38% da amostra total. Cerca de 70% dos titulares de contas pessoais usam suas contas para fins de trabalho.
Os números dos entrevistados da América Latina são mais altos, com 94% da amostra indicando que eles têm pelo menos uma conta pessoal de um serviço de armazenamento em nuvem e 80% indicando que eles usam suas contas pessoais para fins de trabalho.
Um dos aspectos mais reveladores do estudo é que, embora os entrevistados entendam que existam riscos de segurança na utilização de serviços em nuvem, eles ainda armazenam informações que podem ser críticas e perigosas para o sucesso da empresa em que trabalham.
No caso da América Latina, mais da metade (61%) dos indivíduos pesquisados ??afirmaram compreender os riscos de segurança envolvidos ao utilizar serviços em nuvem.
No entanto, quase um terço (31%) da amostra latino-americana admite o armazenamento de dados dos clientes que utilizam estas contas, 24% armazenam documentos particulares críticos como contratos / planos de negócios, 13% guardam informações financeiras enquanto 7% arquivam senhas.
Esses números são as mesmas respostas registradas em nível global.
Empregados ignoram os equipamentos com risco
Entre uma das constatações mais preocupantes da pesquisa global, 14% dos entrevistados disseram que não iriam dizer ao seu empregador se um dispositivo pessoal usado para fins de trabalho tornou-se comprometido e perigoso.
No caso da América Latina, 12% disseram que também não diriam nada, no entanto, quando questionados se sentiam ter a obrigação de entender os riscos de segurança para a sua empresa a partir do uso de dispositivos pessoais no trabalho ou para o trabalho, a maioria (90%) concordou que isso é de fato muito importante. Isso representa uma oportunidade para os departamentos de TI para fornecer mais educação sobre segurança.
Dados gerais da pesquisa
A Fortinet Internet Security Censo 2013 foi um exercício de pesquisa realizado entre 07 e13 de outubro de 2013, em nome da Fortinet por uma empresa independente de pesquisa de mercado, a Vision Critical.
A pesquisa envolveu 3.200 indivíduos de nível universitário e pós-graduação com idade entre 21-32, empregados tempo integral, que possuam smartphone, tablet ou laptop próprios.
Vinte territórios participaram da pesquisa: Brasil, Canadá, Chile, China, Colômbia, França, Alemanha, Hong Kong, Índia, Itália, Japão, Coréia, México, Holanda, Polônia, Rússia, Espanha, Taiwan, Reino Unido e EUA.
Wednesday, 13 November 2013
Molon afirma que questão dos data centers deve ser votada separadamente
Além disso, o texto atual prevê que um decreto poderá obrigar os grandes provedores de serviços na Internet a guardarem os dados no Brasil. "Provavelmente vamos votar essa questão em separado", disse ele.
Molon está confiante de que esse adiamento da votação será o último. Isso porque o trancamento da pauta já está incomodando o presidente Henrique Eduardo Alves (PMDB-RN). "O trancamento da pauta nesse momento trabalha a nosso favor. Vai obrigar a Casa a tomar uma decisão. A presidenta não vai tirar a urgência constitucional, ela deixou isso claro. O presidente da Casa deu uma declaração dizendo que da semana que vem não passa", disse ele.
Outro ponto que o deputado diz estar analisado, e portanto poderá sofrer mudanças, é a questão da guarda dos registros de acesso a aplicações pelos provedores de aplicações. Pelo relatório, essas empresas (Google, Facebook, e-commerces etc.) não são obrigadas a guardar esses dados. Segundo Molon há quatro partidos que manifestaram a intenção de que essas empresas também fossem obrigadas a guardar os dados, de forma a não prejudicar a investigação de crimes digitais.
O que é certo é que se o PL 2.123/2011 realmente for a votado na próxima terça, 19, a votação dificilmente não será concluída na própria terça. Isso porque trata-se da terceira terça-feira do mês, quando a Câmara vota os vetos da presidência a partir das 19h.
Tuesday, 12 November 2013
Os desafios do CT-e 2.0
Apesar de ainda não ser obrigatório para todos os tipos de transporte, o CT-e já é emitido por grande parte das empresas transportadoras. O modal rodoviário, onde se concentra mais de 60% da movimentação anual de cargas no Brasil começou a emitir o CT-e em 1º de agosto deste ano e segue um cronograma de obrigatoriedade que abrange as empresas optantes pelo Simples Nacional, em 1º de dezembro.
A versão 2.00, que entra em produção em novembro, vem substituir a versão 1.04 do CT-e que deve ser totalmente desativada até junho de 2014.
A adoção da versão 2.00 do CT-e traz novos desafios às empresas transportadoras, com alterações que impactam diretamente no ERP ou nos sistemas de gestão que são utilizados. A implantação do sistema de registro de eventos é o principal deles.
O sistema de registro de eventos do CT-e é o modelo genérico que permite o registro de evento de interesse do CT-e originado a partir do próprio contribuinte ou do fisco. Um evento é o registro de um fato relacionado com o documento fiscal eletrônico, sendo que esse evento pode ou não modificar a situação do documento (por exemplo: cancelamento) ou simplesmente dar ciência sobre o trânsito deste documento (por exemplo: registro de passagem).
A Carta de Correção Eletrônica, ou CC-e, que deve ser utilizada para regularizar determinados erros ocorridos na emissão do CT-e é um dos novos eventos que deve ser implantado nas empresas. A partir da versão 2.00, ao invés de cancelar um CT-e e emitir outro em substituição, é possível utilizar a Carta de Correção Eletrônica quando for necessário efetuar alguma modificação que não altere o valor do imposto, a data de emissão ou saída da carga ou as informações do emitente, do tomador, do remetente ou do destinatário.
Merece destaque também o Registro do Multimodal: na versão 2.00 poderá ser emitido um único CT-e para acompanhar cargas que passam por diversas modalidades de transporte.
Embora a implantação da versão 2.00 do CT-e em geral vá implicar em custo para adaptação nos sistemas das empresas, o momento é propício para revisar os procedimentos de gestão do CT-e, que se torna muito semelhante ao da NF-e, e racionalizar processos através da automatização. A médio prazo esta mudança pode se refletir em rotinas mais enxutas, confiáveis e eficientes, se traduzindo em qualidade na prestação de serviços e economia na gestão do negócio.
Marli Vitória Ruaro, coordenadora de projetos da Sispro
Friday, 8 November 2013
O uso da imagem na Era Digital
Na Era Digital, devido ao fácil acesso à conteúdos que estão na internet, e cuja publicação pode ocorrer por terceiros, que nem são os titulares dos direitos autorais, tampouco dos direitos de imagem, tem ocorrido muitos casos que param no Judiciário e que mesmo os Magistrados enfrentam muitas dúvidas em relação aos conflitos quase que paradoxais entre a proteção dos direitos personalíssimos e o direito à liberdade de informação e manifestação do pensamento. Como equacionar? Quais seriam os limites?
Quando os canais de imprensa precisam tratar de algum caso polêmico, atual, a primeira questão levantada é no que tange ao conteúdo estar envolvido em um processo que já esteja tramitando sob segredo de justiça perante o Judiciário. Isso tem ocorrido muito nas matérias que buscam apresentar vítimas envolvidas em publicações ofensivas na internet, onde ainda que seja para transmissão de declaração feita pela própria vítima, alguns cuidados devem ser observados.
Primeiro, na hipótese de versar sobre assunto que seja objeto de ação judicial, que esteja protegida pelo sigilo legal, os relatos da vítima não podem vir a macular a honra e a intimidade do infrator, bem como não podem revelar informações tidas como sigilosas e as provas que estão sendo produzidas no processo.
Segundo, deve limitar-se, portanto, apenas a noticiar o fato e revelar detalhes que não comprometam outras pessoas, como identidade ou qualquer outro dado pessoal e também não revelem as peculiaridades do processo.
Terceiro, as decisões também não podem ser transcritas, nem sequer pequenos trechos. Contudo, o resultado daquele julgamento pode ser divulgado pela imprensa. Mesmo a divulgação de trechos das denúncias ou de decisões judiciais comporta algumas exceções: se os fatos já são de conhecimento público, as denúncias e outras informações do processo podem ser reproduzidas pelos órgãos de imprensa, mantendo-se a restrição quanto a documentos e informações pessoais.
O fator determinante, em verdade, é a origem da informação: quando extraída diretamente do processo e publicada, há violação ao segredo de justiça; se retirada de outras fontes (publicamente acessíveis) e reproduzida, como é a própria internet, a violação não se configura, mormente se considerado o direito à informação e à livre manifestação de pensamento.
Mas deve-se ter cuidado com a forma de extração, para evitar infringir direito autoral de quem produziu o conteúdo (seja ele texto, imagem, som, vídeo). Por isso, é recomendável que se mostre a tela com a página que o conteúdo está publicado, online, ou seja, retrate-se a tela e não baixe-se o conteúdo. Mostrando o mesmo no ar, no local em que originariamente já esteja publicada, não é o veículo que está correndo risco de infração de direito autoral mas sim a pessoa ou site que publicou o conteúdo.
Se isso não ocorrer, e se quiser editar o conteúdo, então as imagens que serão produzidas para a realização da matéria deverão atentar para o risco quanto à divulgação de fotografias, imagens e textos, cuja divulgação dependerá de autorização.
Com isso, se por um lado o conteúdo do processo está protegido pelo sigilo (os documentos juntados nos autos e os atos processuais tais como depoimentos, audiências e julgamentos), o conteúdo publicado na internet, por sua vez, não está (se ativo). Quando divulgado na internet, cai em conhecimento público, e pode ser mostrado livremente pela imprensa, em matérias de caráter eminentemente jornalístico.
Sendo assim, as emissoras, ao produzirem e veicularem notícias relacionadas a um caso como o aqui exemplificado, devem considerar, primordialmente, a proteção do direito à intimidade, à vida privada, à honra e a imagem das pessoas, consolidado no artigo 5º, inciso X, da Constituição Federal Brasileira de 1988, e também no inciso LX, que prevê a possibilidade de que os processos judiciais sejam mantidos sob sigilo para preservação da intimidade das partes.
Destaque-se também, que tais direitos, de caráter personalíssimo, são limites também à liberdade de imprensa, garantida pelo artigo 220 da Constituição. Igualmente, a proteção aos direitos personalíssimos está estampada no Código Civil (arts. 20 e 21), sendo que ambos os diplomas legais dispõem que a violação a estes direitos pode ensejar reparação/indenização (art. 5º, inciso X, CF, e art. 927, CC).
Além destas limitações, a Lei dos Direitos Autorais (Lei 9.610/98) protege também as criações intelectuais, fotografias, imagens e textos, cuja utilização depende de autorização dos respectivos autores.
Concluindo, com relação a imagens e fotografias protegidas pelos direitos autorais, poderão ser mostradas na transmissão se já estiverem publicadas na internet ou em outro meio de comunicação e as mesmas forem exibidas no estado e no local (página) em que se encontram. É importante lembrar que, se por um lado a lei brasileira garante a liberdade de expressão, por outro impõe limites ao exercício desse direito.
É advogada especialista em Direito Digital, sócia fundadora da Patricia Peck Pinheiro Advogados e autora de “Direito Digital”, editado pela Saraiva.
Wednesday, 6 November 2013
Empresas de software e internet criticam obrigatoriedade de instalação de data centers no Brasil
O diretor jurídico da Associação Brasileira das Empresas de Software (Abes), Antonio dos Santos, condenou a nova regra prevista na proposta, segundo a qual decreto do Poder Executivo poderá determinar que os data centers estrangeiros estejam localizados no Brasil. "Nós tememos que isso leve muitos provedores a não disponibilizar serviços a usuários brasileiros", afirmou. "Os provedores podem não querer criar data centers no Brasil, porque o custo de manter esses bancos de dados no país é muito elevado", completou.
A posição contrária também foi externada pelo representante da Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação (Brasscom), Nelson Wortsman, o qual argumentou que o custo para criar e manter um data center no país é, segundo ele, pouco competitivo. "São necessários US$ 60 milhões inicias no Brasil, sendo que, nos Estados Unidos, são precisos US$ 43 milhões. Já para manter esse data center, gasta-se US$ 1 milhão no Brasil. Em países como Argentina e Colômbia, é quase a metade."
Segundo ele, o governo brasileiro deveria estimular a instalação dos data centers no Brasil, com estímulos fiscais. "Assim, naturalmente o Brasil se tornará atrativo", acredita Wortsman. A Brasscom representa grandes empresas de internet como Google e Microsoft.
Para o presidente da comissão especial que analisa o projeto do marco civil, deputado João Arruda (PMDB-PR), a obrigatoriedade de instação de data centers de provedores no Brasil não resolve o problema da espionagem. "A resposta que a presidente está buscando envolve investimentos no Serviço Federal de Processamento de Dados, o Serpro .
Os data centers são instalados de acordo com o custo, é uma questão de mercado. Precisamos, isso sim, criar um ambiente favorável para essas unidades de processamentos de dados no Brasil, com desonerações", argumentou.
De acordo com o texto da proposta, o decreto deverá considerar o porte dos provedores, seu faturamento no Brasil e a amplitude da oferta do serviço ao público brasileiro. O relator do PL 2.126, deputado Alessandro Molon (PT-RJ), afirmou que as novas regras foram incluídas no texto a pedido da presidente Dilma Rousseff, depois das denúncias de espionagem do governo dos Estados Unidos contra empresas e autoridades brasileiras. Mas ele disse que está disposto a dialogar sobre essa determinação, contida no texto.
Na comissão geral sobre a matéria, ele destacou, porém, que não abre mão do princípio da neutralidade de rede, que considera "o coração da proposta".
Com informações da Agência Câmara.
Microsoft compara privacidade do Gmail e Outlook
Depois de lançar campanhas como o “Scroogled”, a Microsoft colocou no ar um novo site para atacar o Google o seu sistema de e-mails, o Gmail. Chamado de “Keep Your Email Private”, o site faz uma comparação do Gmail e Outlook, e mostra porque o serviço da Microsoft seria mais confiável e seguro do que o da concorrência.
Gmail e Outlook são comparados em site da Microsoft
O site indica que o serviço de e-mails do Google é invasivo, e mostra as políticas de privacidade do serviço. Isso para especificar que o Gmail utiliza suas conversas para apresentar propagandas “personalizadas”. Coisas que não acontece no Outlook, por exemplo.
“Todos os prestadores de serviços de e-mail protegem sua caixa de entrada de digitalização de spam, tentativas de phishing e malware, mas nem todos os provedores de e-mail usam as palavras de seu e-mail para lhe mostrar anúncios. Aqui está uma comparação de dois dos principais prestadores de serviços de e-mail livre baseado na Web”, diz o site.
De acordo com as informações publicadas, o Gmail “lê” todas as suas mensagens e palavras dos e-mails para transformar isso em propaganda.
Além disso, há links para matérias em grandes jornais e portais de notícias, as quais comentam sobre a privacidade oferecida pelo Google.
Mais informações você confere no Keep Your Email Private.
Brasil é um dos 4 países com maior número de empresas vítimas de crimes digitais
O Relatório de Fraude de Outubro da RSA mostra que o Brasil está na lista dos quatro países que mais tiveram corporações vítimas de fraudes digitais no mundo.
No último mês de setembro, o RSA Anti-Fraud Command Center (AFCC), em Israel e Estados Unidos, identificou que o país foi responsável por 4% de todos os ataques de phishing as empresas, quando cibercriminosos tentam adquirir informações sigilosas de usuários na Internet.
O ranking foi liderado pelos Estados Unidos (28%), seguido do Reino Unido (13%) e Índia (7%).
Segundo o levantamento, a RSA detectou 49.119 ataques de phishing ao redor do mundo no último mês, registrando crescimento de 36% em relação a agosto. Deste total de fraudes online, 3% foram hospedados em território brasileiro. Os países que mais originaram ataques foram Estados Unidos (42%), Alemanha e Canadá (6% cada). O Brasil ainda ficou atrás da Holanda (5%), Rússia, Reino Unido, Colômbia e França (4% cada).
Diante de tal crescimento de ataques cibernéticos, a RSA elegeu outubro o mês da Conscientização da Segurança Cibernética e aposta identificação de ameaças e perigos em comportamentos online para que as pessoas possam utilizar a Internet com segurança.
A RSA desenvolveu em parceria com a NCSA (National Cybercrime Security Alliance), nos Estados Unidos, o Online Identify Risk Calculator.
Em dez questões, a ferramenta ajuda usuários a identificar as atividades de risco em sua rotina na Internet e classifica o nível do seu comportamento online em alto, médio e baixo risco. No final do questionário, também traz dicas de acordo com o seu perfil para diminuir a chance de roubo de informações digitais.
O teste é gratuito e pode ser realizado pelo site do jogo (http://www.brazil.emc.com/fraudgame).
O Online Identify Risk Calculator existe desde o ano passado e já recebeu 14,5 mil respostas de pessoas de mais de 170 países. Por meio destas informações foi possível identificar que:
*67% dos participantes acessam suas conta bancária online pelo menos 1 vez por semana;
* 83% efetuam compras pela Internet 1 vez por mês ou mais;
*40% acessam três ou mais contas de e-mail regularmente;
*77% acessam sites de redes sociais regularmente;
*74% fizeram download de aplicativos para um dispositivo móvel no ultimo ano;
* 35% foram infectados por um Cavalo de Tróia no último ano;
* 37% acessam sites de jogos online 1 vez por mês ou mais.
Sunday, 3 November 2013
Espionagem traça destinos políticos desde a Antiguidade
O general chinês Sun Tzu, famoso por seu livro 'A Arte da Guerra', escreveu: 'Os líderes brilhantes e os bons generais que consigam ter bons espiões vão ter muitos êxitos'.
Roubar cartas, interceptar comunicações, fazer escutas: estes são alguns exemplos de espionagem ao longo da história.
Na Roma antiga, os líderes políticos tinham a sua própria rede de vigilância, que lhes fornecia informações sobre as intrigas nas diferentes escalas de poder do império.
O famoso orador Cícero frequentemente se queixava de que suas cartas eram interceptadas.
'Não consigo encontrar um mensageiro fiel' , escreveu a seu amigo Atticus . 'São muito poucos os que conseguem levar uma carta e não ficam tentados a lê-la' .
Júlio César também construiu uma rede de espionagem para saber das conspirações contra ele. É possível, inclusive, que ele sabia de antemão da conspiração no Senado que pôs fim à sua vida .
Inquisição
Na Idade Média, a Igreja Católica tinha mais poder do que muitos governos. E, obviamente, tinha uma rede de vigilância poderosa.
Um dos comandantes do sistema foi o bispo francês Bernard Gui, considerado um excelente escritor e um dos arquitetos da Inquisição.
Por quinze anos, atuou como inquisidor-chefe em Toulouse, onde julgou pelo menos 900 pessoas por heresia .
No livro 'A conduta da Inquisição na Depravação da Heresia', de 1324, Gui explicou como identificava, interrogava e punia os hereges.
Elizabeth 1ª
A corte de Elizabeth 1ª, na Inglaterra, foi um campo fértil de intrigas. A função do fidalgo Francis Walsingham era fazer com que a monarca estivesse sempre um passo à frente de seus adversários.
Em maio de 1582, Walsingham conseguiu interceptar a correspondência do embaixador espanhol Bernardino de Mendoza. A carta falava sobre uma conspiração para invadir as ilha britânicas e instalar no trono a soberana dos escoceses, a rainha Mary.
Enquanto Mary estava confinada em uma prisão, Walsingham conseguiu uma maneira de provar o que já se falava na corte.
Ele se fez passar por um aliado de Mary e começou a trocar correspondências com ela por meio de cartas que chegavam escondidas em um barril de cerveja.
Nas cartas, Mary falou sobre o plano e Walsingham conseguiu as provas de que ela planejava assassinar Elizabeth 1ª e causar uma rebelião. A rainha dos escoceses foi julgada e condenada à morte.
Robespierre
Durante a Revolução Francesa, Robespierre e seus colegas vigiavam atentamente os revolucionários e reprimiam violentamente qualquer dissidência.
Em 1793, o governo revolucionário estabeleceu doze 'comitês de vigilância' em todo o país . Os comitês eram autorizados a identificar, monitorar e prender qualquer suspeito.
Historiadores estimam que pelo menos meio milhão de pessoas foram alvos dos comitês de vigilância, famosos pela crueldade em muitas cidades francesas.
Nos séculos 18 e 19, governos europeus começaram a criar as 'câmaras escuras', onde se interceptava e lia as cartas de indivíduos suspeitos .
Os escritórios, localizados nos prédios do serviço postal, empregavam diversas técnicas para abrir, copiar e novamente fechar as cartas, sem deixar rastros.
A prática foi o pivô de um escândalo no governo britânico em 1844, quando foi revelado que a 'câmara negra' havia interceptado a correspondência do escritor italiano Giuseppe Mazzini, que vivia exilado em Londres.
O governo foi acusado de passar informações às autoridades de Nápoles, que usaram os dados para caçar e excecutar revolucionários companheiros de Mazzini.
Negociação e espionagem
Em 1922, os Estados Unidos organizaram uma conferência de desarmamento naval em Washington, com a presença de representantes do Reino Unido, França, Itália e Japão .
Em meio às negociações, os americanos espionaram as comunicações entre Tóquio e os diplomatas japoneses, além de delegados de outros países.
Com as informações levantadas pelo Instituto de Criptografia do governo, fundado em 1919, os Estados Undios conseguiram fechar acordos que lhes proporcionaram a liderança na corrida armamentista naval.
Em 1929, o escritório foi fechado pelo Secretário de Estado, Henry Stimson, que disse: 'Cavalheiros não leem a correspondência de outras pessoas'.
Após a Segunda Guerra Mundial, os americanos decidiram que os cavalheiros precisavam, no entanto, de uma rede de monitoramento permanente.
Vizinho espião
Durante a Guerra Fria, a espioanagem fez parte do cotidiano de quem vivia nos países atrás da chamada 'cortina de ferro'.
Em nenhum lugar foi mais sentida do que na Alemanha Oriental. Durante 40 anos, o serviço de inteligência do Ministério da Previdência (conhecida como a Stasi) monitorou e registrou as atividades dos cidadãos, usando as informações para acabar com tumultos e possíveis dissidências .
Até a queda do Muro de Berlim em 1989, a Stasi tinha 91 mil colaboradores, com uma rede de 200 mil informantes.
A Alemanha Oriental usou a tecnologia, com uma quantidade imensa de funcionários, expandindo a espionagem em uma escala nunca antes vista.
Os Estados Unidos também adotaram práticas parecidas após a Segunda Guerra Mundial, como parte do projeto Shamrock. Foi criada uma rede de vigilância de cidadãos americanos suspeitos de atividades subversivas.
O sistema de vigilância foi extinto pelo Congresso em 1975. Quase quatro décadas depois, a NSA acabou reconstruindo o projeto Shamrock, desta vez bisbilhotando os cidadãos em uma nova esfera - a rede mundial de computadores.
BBC Brasil - Todos os direitos reservados. É proibido todo tipo de reprodução sem autorização por escrito da BBC.
Friday, 1 November 2013
A Reforma do Código Penal e os Crimes Contra a Honra na Sociedade Digital
No dia 20 de Agosto de 2013 o Relator do Projeto, o Senador Pedro Taques, apresentou à Comissão Temporária de Reforma do Código Penal, seu Relatório a respeito das proposições, juntamente com um Substitutivo do Projeto.
Dentre as alterações propostas no Substitutivo, analisaremos as que dizem respeito aos Crimes Contra a Honra e sua relação com o Direito Digital.
Há muito se fala do aumento do potencial lesivo do crime contra a honra na Era Digital, pois atualmente a capacidade de propagação de uma ofensa, por exemplo, foi elevada à enésima potência, uma vez que seu compartilhamento em redes sociais pode fazer com que a informação chegue a pessoas do outro lado do mundo em poucos segundos. Dessa forma, trata-se de ocorrência que traz grande sofrimento à vítima, que tem sua honra lesada em um mundo sem fronteiras físicas e no qual o direito ao esquecimento parece não existir, fazendo com que dificilmente consiga reparar os danos advindos de tal delito.
Cabe aqui a diferenciação entre calúnia, difamação e injúria, para melhor entendimento. No primeiro delito, há a imputação de um fato criminoso à vítima, que vê sua honra objetiva lesada (consumação) a partir do momento em que terceiros tomam ciência de tal imputação. Como exemplo, pode ser citada a situação em que Paulo publica em sua linha do tempo, no Facebook, um post afirmando que José da Silva roubou sua mochila, citando seu nome para que todos possam tomar ciência do ocorrido.
Na difamação, diferentemente da calúnia, não se imputa fato criminoso, mas somente fato ofensivo à honra objetiva da vítima, sendo o crime consumado também quando terceiros tomam conhecimento de tal ofensa. Para seguir com exemplo semelhante, teríamos o crime de difamação se Paulo publicasse em sua linha do tempo, no Facebook, que seu amigo João da Silva fora trabalhar embriagado, permitindo que todos vissem sua publicação.
A injúria, por sua vez, consiste em imputar uma qualidade negativa a alguém, lesando a honra subjetiva da vítima a partir do momento em que ela mesma toma conhecimento de tal ofensa. Como exemplo, bastaria que Paulo enviasse uma mensagem privada (como por exemplo por inbox no Facebook ou direct message no Twitter) para João da Silva, afirmando que ele é um ladrão, não sendo necessário que terceiros tomem conhecimento de tal fato para se consumar o crime.
No artigo 144, o Substitutivo prevê pena de prisão de um a dois anos para quem comete o delito de difamação e cria nova figura em que incorre na mesma pena “quem, sem consentimento ou autorização, divulgar ou compartilhar fotografia, vídeo ou imagem, por qualquer meio eletrônico ou digital, que contenha cena que exponha a intimidade da vítima”. Em outras palavras, quem divulga ou compartilha foto, vídeo ou imagem com cena que exponha a intimidade da vítima, sem sua autorização ou consentimento, também estaria cometendo a figura típica de difamação.
O Substitutivo aumentou a pena para o delito de difamação, que antes era de detenção de três meses a um ano, e multa; para a pena de prisão de um a dois anos.
Ademais, previu, no parágrafo primeiro, a figura que chamamos de difamação por imagem, em que incorre na mesma pena aquele que propaga arquivo de imagem ou vídeo que exponha a intimidade da vítima.
Apesar do acerto na criação da difamação por imagem, a nosso ver o Substitutivo poderia ter previsto pena mais alta para o crime de difamação de uma forma geral, por conta do potencial lesivo ao bem jurídico honra, pois na Era da Informação, um dos bens mais valiosos de uma pessoa é sua reputação, sua honra, não podendo haver uma pequena punição para delito de tamanha magnitude, pois não serviria para coibir tal prática, tão comum atualmente.
Como sanção para este delito, acreditamos que seria mais adequado banir o infrator da web pelo tempo correspondente ao cumprimento da sua pena. Isso se justifica em razão de ser considerado pelo legislador um crime de menor potencial ofensivo, ou seja, cuja pena não supera dois anos, o que faz com que a pena seja cumprida em regime aberto, dentre outras características favoráveis ao réu. A única maneira de evitar que o infrator continuasse cometendo esse tipo de crime seria criando mecanismos para que não possa acessar a internet de nenhum dispositivo até que termine de cumprir sua pena, retirando-lhe a liberdade digital de ir e vir.
Além da sanção mais adequada, é necessário refletir se estamos preparados para investigar esses delitos ocorridos em meio digital.
A investigação de um delito tem como finalidade a comprovação ou não de autoria e materialidade e para isso, no caso do crime praticado em meio digital, é preciso que tenhamos legislação, como o Marco Civil, que estabeleça a obrigatoriedade de guarda de logs tanto de conexão quanto de aplicativos de internet, para permitir que provas de um crime cibernético não sejam destruídas.
No parágrafo segundo do mesmo artigo, há a previsão da divulgação de “fato que sabe inverídico, capaz de abalar o conceito ou o crédito de pessoa jurídica”, mas não faz menção ao meio eletrônico. Mais uma vez acertada, a nosso ver, a proposta de prever crime de difamação contra pessoa jurídica, por conta da reputação ser o ativo intangível mais valioso em nossa sociedade. A falta de previsão do uso do meio eletrônico para cometimento de tal ofensa não impede, no entanto, que tal dispositivo seja aplicado aos casos ocorridos em ambiente digital, uma vez que importa a lesão ao bem jurídico tutelado e não o meio utilizado para seu cometimento.
Por fim, dispõe no inciso segundo do artigo 147 que as penas serão aplicadas até o dobro se qualquer dos crimes — previstos no capítulo de crimes contra a honra — for cometido “por meio jornalístico, inclusive o eletrônico ou digital, ou qualquer outro meio de comunicação que facilite a divulgação da calúnia, da difamação ou da injúria”.
Neste ponto, o Substitutivo anteviu causa de aumento de pena para o caso de crimes contra a honra cometidos por meio jornalístico ou qualquer outro meio de comunicação que facilite a sua divulgação, incluído o meio eletrônico ou digital. A nosso ver, muito acertada a inclusão de meio eletrônico de comunicação como caso de aumento de pena para o dobro, pois como já dito anteriormente, trata-se de meio muito utilizado atualmente para o cometimento desse delito, cujo potencial lesivo tornou-se imensurável com o poder de replicação e propagação de informações num curto espaço de tempo.
No entanto, no caso de difamação cometida por meio da divulgação, na internet, de fotografia que exponha a intimidade da vítima, seria correto aplicar a causa de aumento de pena prevista no inciso segundo do artigo 147? Da maneira como foi organizado o Substitutivo, poder-se-ia afirmar que tal majorante se aplica a todos os delitos descritos no capítulo, mas a figura do parágrafo primeiro do artigo 144, que chamamos de difamação por imagem, já prevê seu cometimento por meio eletrônico, não podendo seu autor ter sua pena duplicada por cometer o delito em ambiente digital, sob pena de caracterizar bis in idem.
A nosso ver, a intenção de reconhecer maior gravidade ao crime contra a honra quando perpetrado por meio digital, foi louvável, mas há que se atentar para a estrutura do Projeto para que não lhe falte lógica, impossibilitando a aplicação eficaz dos tipos previstos.
Por fim, é preciso reconhecer o acerto do Relator em prever no Substitutivo a ocorrência dos crimes contra a honra envolvendo o meio digital. No entanto, não podemos deixar de criticar a escolha de política criminal quanto à cominação de penas, muito baixas se levada em conta a lesividade de tais delitos na sociedade atual e da maneira de estruturar o capítulo, deixando dúvidas quanto à aplicabilidade da causa de aumento de pena.
Ana Carolina Lass Violante, advogada especialista em Direito Digital e sócia do escritório.
Wednesday, 30 October 2013
Os dicionários de senhas e a falência de um modelo
O raciocínio tinha sua lógica. Uma senha de oito caracteres, livremente escolhidos pelos usuários entre os 94 personagens disponíveis em um teclado padrão, resulta em uma possibilidade singular num universo de 6,1 quatrilhões (isto mesmo, "quatrilhões") de possibilidades. Assim, mesmo dispondo de um cartão com todos os requisitos de conexão do cliente, um invasor com grande maestria técnica, poderia levar meses – ou até anos – para encontrar a sequência correta.
No entanto, o forte avanço dos processadores e dos analisadores de algoritmos já vem mudando esta realidade há muito tempo. Além disso, uma série de fatores relacionados, não à estatística, mas ao comportamento humano, contribui para tornar este modelo algo cada vez mais inseguro e até perigoso para o usuário. Em recente palestra no Brasil, o especialista em senhas de proteção John Richardson – evangelista da empresa de segurança Lieberman Software – apresentou alguns elementos para contextualizar o tema.
Em primeiro lugar, explicou Lieberman, os seres humanos têm grande dificuldade para se lembrar de uma sequência de oito dígitos em sua memória de curto-prazo, sendo mais afeitos a uma extensão de cinco dígitos. A inclusão de símbolos e números na sequência cognitiva ajuda a fragmentar sua imagem mental, tornando-a ainda mais difícil de ser retida.
Como resultado, as pessoas usam uma variedade de truques para criar senhas que possam ser lembradas de forma mais fácil. Assim, ao invés de criar senhas ilegíveis, difíceis de soletrar, a tendência é de se usar palavras ou pedaços de palavras e, de preferência, relacionados a nomes próprios, acontecimentos ou coisas relacionadas à experiência cotidiana.
Como é obrigado a inserir um símbolo e ao menos um número, a tendência mais forte é colocar uma maiúscula no início da palavra-chave e um número ou mais no final da mesma. Quando se usa mais de um número, o hábito predominante é colocá-los em sequência crescente, como "123", ou "789".
Apesar de dispor de um teclado com possibilidades quase infinitas, os humanos, geralmente, só criam uma meia- dúzia de senhas para dezenas de usos. E, para facilitar a lembrança, estas poucas senhas são ainda muito parecidas, com poucas mudanças pontuais e pouca presença do aleatório.
Em um estudo recente de seis milhões de senhas de usuários reais, as 10 mil senhas mais comuns se mostraram capazes de acessar 98,1% das contas de usuários em aplicações como jogos, redes sociais, bases de dados e até cartões de compra.
Conhecendo tal situação, os hackers desenvolvem "dicionários" de palavras usadas em senhas com suas típicas combinações de letras, símbolos e sequencias numéricas. Com o uso de tal ferramenta, eles se tornam aptos a romper com um segredo de acesso de forma milhões de vezes mais fácil do que aconteceria se agissem dentro de um universo aleatório.
E senhas não aleatórias ainda estão longe de ser o maior problema. Acima desta vulnerabilidade aparece o hábito do reuso. O usuário médio tem 26 contas protegidas por senha, mas apenas cinco senhas diferentes em todas essas contas. Assim, um pequeno descuido que cometa com sua senha em um site de jogo, por exemplo, pode representar a chave para que os hackers entrem em diversas outras aplicações mais críticas, como a de conta corrente, por exemplo.
Houve também avanços substanciais no hardware usado para quebrar senhas. Ao lado de ataques de dicionário e baseados em comportamento – que são considerados "elegantes", o emprego da "força bruta", via uso intensivo de hardware, vem tendo cada vez mais sucesso.
Num ataque de força bruta, simplesmente aplica-se cada um dos 6,1 quatrilhões de combinações de uma possível senha de oito caracteres, até que se quebre uma barreira. Hoje, uma máquina bem configurada para quebra de senha, com software dedicado (disponível em vários sites para hackers) pode quebrar uma chamada senha forte, mesmo que bem construída, em um espaço de 5,5 horas.
O custo de uma máquina desse tipo, há poucos anos altíssimo, chegou em 2012 a um patamar de US$ 30 mil, portanto, bastante acessível para hackers financeiramente estruturados. O fato, porém é que possuir uma máquina dessas deixou também de ser uma exigência para o ataque de força bruta.
Tal como as universidades e grandes instituições de pesquisas, os hackers hoje contam com comunidades globais de comutação colaborativa. Trata-se do Multitude-Hacking, um modelo de processamento distribuído que permite ao hacker desmembrar a decupagem do algoritmo ao longo de milhares de máquinas normais de usuários, que são usadas como zumbis e que, em conjunto, compõem um formidável parque de hardware para a quebra de senhas fortes.
Conclui-se assim que as pessoas e – principalmente – as organizações, devem rever imediatamente suas políticas de segurança através de senha. Além da sintaxe sequencial, as regras atuais de controle sobre a expiração da senha, seu comprimento mínimo, o uso do conjunto de símbolos completo, e formas de redefinições de senha são comprovadamente muito fracas.
Além disso, cada organização deve monitorar continuamente seus sistemas de tentativas de hacking, e estar pronto para responder.
Em lugar do modelo atual de construção manual de senhas fixas e reutilizáveis por longo tempo, John Richardson, da Lieberman, prevê que as grandes corporações começarão rapidamente a migrar para um sistema randômico de geração de senhas aleatórias e com algoritmos muito mais sofisticados.
Batizado por ele de Enterprise Random Password Manager (ERPM), o novo modelo já está sendo empregado no Brasil por bancos, operadoras de telecom e pela maior empresa local de cadastro de crédito ao consumidor.
Sua implementação compreende o emprego de senhas geradas dinamicamente (não controladas pelo usuário, mas por uma inteligência algorítmica) em combinação com uma nova sistemática de acesso na qual, ao invés de usar sempre a mesma senha para acessar um dado ou aplicação, o usuário passa a acessar uma espécie de "tesouro de senhas" para obter a licença de acesso (segura e autenticada) cada vez que for usar o recurso.
Outras técnicas apontadas pelo especialista ajudam a manter um controle ainda mais efetivo. Uma delas é a "dupla custódia" (senha particionada em duas ou mais partes, exigindo a ação de mais um usuário para se obter um acesso). A outra é o "impersonation", que é a combinação apenas temporária da relação usuário/senha, sendo que a senha fica automaticamente inativa após o uso, necessitando que outra seja gerada para cada novo acesso ao sistema.
Só com medidas desse tipo, associadas a políticas rigorosas de monitoramento, disciplina de acesso, emprego de criptografia e autenticação de usuários, é que as empresas irão começar a ter segurança e sigilo de fato em suas estruturas de informação e transação de negócios.
André Facciolli, diretor da NetBR