quinta-feira, 4 de abril de 2013

Lei Carolina Dieckmann não irá intimidar cibercriminosos, diz expert


Tissiane Vicentin

04 de abril de 2013

Exposição na mídia fez com que lei fosse sancionada rapidamente, mas ela apresenta falhas e pontos não muito bem resolvidos

A Lei 12.737, popularmente conhecida como "Lei Carolina Dieckmann", entrou em vigor na terça (2). A nova legislação visa identificar e punir crimes cometidos por meio da Internet e, embora seja um grande avanço no mundo tecnológico, representa apenas o primeiro passo.

"Com certeza ainda há muito a ser feito. Por conta da exposição da mídia do caso Dieckmann e outros internacionais, houve uma mobilização popular para que essa lei fosse implantada rapidamente. Por conta disso, ela apresenta falhas e pontos não muito bem resolvidos. Não deixa de ser um marco importante na lei brasileira, mas encontrará muitas dificuldades para ser aplicada", afirma Armando de Vilhena, diretor executivo da empresa de segurança TIX 11.

O principal problema apontado pelo especialista é o fato de que a lei restringe o ato criminoso. Segundo o artigo 1º da nova lei, somente é considerado crime se o dispositivo - conectado ou não a uma rede de computadores - for invadido por meio de quebra de senha ou de outros mecanismos de proteção.

"O problema disso é que, se você deixar o acesso à máquina livre, com o usuário desprotegido, e o fraudador não tiver que romper uma barreira para acessá-la, isso não será considerado crime. É o mesmo que deixar a sua carteira por alguns segundos em cima da mesa e alguém pegá-la", disse Vilhena. "A lei está muito vinculada a uma quebra explícita de mecanismo de segurança e isso pode gerar problemas. Principalmente para usuários domésticos, que costumam não utilizar senhas em seus dispositivos."

"Acredito que, em um ataque de grandes proporções como o que ocorreu na Coreia do Sul, em que se tem um montante de dados e testemunhas suficientes, a lei é extremamente válida. Mas, para o cidadão comum, ela ainda apresenta muitas falhas", acrescentou José Damico, diretor de pesquisa e desenvolvimento da empresa. "Estamos lidando com um ambiente onde é difícil oferecer provas forenses irrefutáveis ou conseguir testemunhas que comprovam o crime", complementa Vilhena.

Por mais que a lei tenha surgido para coibir crimes virtuais, ela não intimidará os crackers. "As leis de proteção normalmente surgem porque algo que não se previa aconteceu. Quando você tem uma rua ou estrada, é mais fácil demilitar regras. Você limita tudo o que interfere naquele meio e o que está fora dessa regra você barra. Mas, como mensurar limites em um computador?", diz Damico. "É interessante como a tecnologia tem essa característica mutante de um organismo. Ela evolui, muda, cresce de maneira que não dá para entender. E as leis são pontuais. É difícil proteger uma criança ansiosa dentro de casa, se você não sabe o que ela pode fazer. A criatividade dos cribercriminosos permitirá que, em um ambiente desconhecido como a Internet, eles estejam sempre à frente."

Outro ponto que essa nova lei vai acabar "esbarrando" no futuro é o limite entre a privacidade do usuário e a proteção. Com a lei permitindo que dados sejam coletados - para comprovar o crime em questão - há a possibilidade dos usuários enfrentarem um "rastreamento massivo", que chegará ao ponto de não existir uma mensagem trocada sem interceptação.

"Tamanha regulação pode levar ao fim do anonimato na web, que é um dos únicos ambientes em que ainda se pode fazer algo sem ser identificado", diz Damico. "Chegará ao ponto que será o mesmo que colocar uma câmera dentro da sua casa. Pode ser que ninguém esteja assistindo, mas eventualmente alguém pode dar uma olhada", completa Vilhena.

Cuidado com as senhas
Se proteger em um ecossistema em que as informações pessoais estão publicamente divulgadas e que muda constantemente pode ser um desafio, mas algumas ações simples - e repetidamente lembradas - podem fazer a diferença.

Segundo os especialistas, os usuários pecam quando recebem mensagens, sejam elas e-mails ou via rede sociais. E esse é o vetor de infecção preferido de cibercriminosos, que se aproveitam da falta de atenção e da curiosidade inerente da natureza humana para convencer as vítimas a abrir um arquivo aparentemente inofensivo, ou redirecioná-la a um site comprometido.

"Esse é o jeito mais fácil e mais abrangente das pessoas caírem em golpes virtuais. Seria facilmente evitado, mas o usuário comum ainda é muito ingênuo", diz Vilhena. "O primeiro cuidado que se deve ter é verificar a legitimidade da mensagem, principalmente quando é solicitado a realizar alguma ação como acessar um site".

Esse tipo de ataque é conhecido como phishing ou spear phishing, quando é algo direcionado (como, por exemplo, um e-mail bancário fraudulento que contém o nome da vítima em vez do típico "caro usuário").

"Um problema que ocorre e acaba com a nossa segurança é a ansiedade. O tempo é a velocidade de um clique e isso faz com que realizemos uma ação sem pensar", afirma Damico. Quando menos se espera, clique, o usuário acaba em um site malicioso.

O velho hábito de escolher senhas fracas é outro erro cometido por usuários domésticos quando o assunto é proteção. É comum as pessoas usarem senhas baseadas em referências pessoais, como datas ou o nomes conhecidos. Esse tipo de informação é facilmente encontrado na rede e aquela combinação de nome do cachorro com telefone que parecia boa pode ser facilmente deduzida.

Para desenvolver uma senha forte a dica é escolher uma combinação longa e com caracteres diversos. "Quanto mais sem sentido a senha, melhor", diz Vilhena. "Alguns administradores de rede acham que quanto maior a frequência para trocar a senha, maior a segurança e isso não é verdade. Se o usuário tiver que trocar muitas vezes, ele escolherá uma combinação fácil, para que não esqueça."

Ou seja, é preferível que o usuário escolha uma senha mais elaborada, em vez de trocá-la compulsivamente. "Agora, se o usuário desconfiar que um vírus pode ter se instalado na máquina ou ocorrer alguma situação em que a senha pode ter sido descoberta, nesse caso deve-se, como ação preventiva, trocar todas as senhas como quem troca todas as fechaduras da casa", recomenda Damico.

Vale lembrar também que usar a mesma senha para diversos serviços é algo arriscado. "Se um cracker invadir seu e-mail, por exemplo, por tabela ele também rouba informações sobre bancos, Facebook, da empresa. No final das contas, por uma vulnerabilidade, o usuário deixa toda a vida nas mãos do fraudador", diz Vilhena.


Postado por às

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)

Palestra "Direito Digital "

Agradeço a presença de todos que puderam prestigiar o evento.

A apresentação já está disponível para douwnload em
Arquivos "Direito Digital"

Abs,
Ana Cristina Ferreira

Software nas Nuves - Chegaremos lá?

Los Angeles aprova contrato para usar serviços online do Google Cidade americana é primeira grande metrópole a contar com o Google Apps, que transfere armazenamento de informações e documentos para a 'nuvem'

Fonte: Jornal O Globo de 28/10/2009

O que os funcionários adoram fazer que prejudica a segurança?

Conheça histórias de gestores de segurança e educadores sobre as atitudes preferidas dos funcionários e saiba o que eles fizeram para controlá-las ou minimizar as suas consequências.
Insatisfeito com as restrições de segurança da faculdade, um aluno desenvolveu um software. Chamado U2, o programa permitia o acesso a qualquer porta do computador ao simular a passagem do tráfego pela port 80, de tráfego HTTP.
Em outras palavras, este aluno fazia tudo o que queria – navegava sem restrições, instalava programas e, até, chegou a criar uma rede P2P que funcionava 24 horas por dia.
A história é contada por Nilson Ramalho, instrutor do curso de redes na Impacta e também gerente de suporte técnico da faculdade. Segundo ele, o caso – acontecido 5 meses atrás – foi descoberto por conta do consumo na banda e gerou mudanças na estratégia de defesa. “Depois disso, adotamos gestão de identidade e acesso (IAM) para evitar problemas”, conta.
Vários outros incidentes deste tipo acontecem a todo o momento em universidades e empresas. Acostumados a navegar e usar o computador livremente em suas casas, os funcionários muitas vezes colocam as informações da empresa e a própria corporação em risco por conta dos seus hábitos.
Sites maliciosos, pornografia, programas desconhecidos, correntes de e-mail com ppts, pastas no servidor com mp3 e vídeos, portas abertas no computador, etc, etc... A lista de comportamento hostil para segurança poderia seguir indefinidamente.
Estratégia de defesa O que o gestor de segurança ou o profissional de TI responsável pela proteção pode fazer para contornar esses comportamentos?
Álvaro Teófilo, superintendente do Centro de Operações de Segurança da Produban, empresa de Tecnologia do Grupo Santander Brasil, conta a iniciativa do grupo para o controle do vazamento de informações. A estratégia do banco pode ser encarada como uma maneira de estabelecer toda a política de segurança da informação.
“Minimizar o risco de vazamento de informação tem três dimensões: a definição das regras de manipulação de informações (por meio de políticas organizacionais), a divulgação destas regras (que chamamos de ‘planos de conscientização’) e a implantação de controles que permitam minimizar incidentes e orientar as pessoas”, conta Teófilo, em entrevista por e-mail.
Ramalho compartilha a idéia. Para ele, o maior desafio está em deixar claro para os funcionários quais são as regras e que tipo de comportamento é exigido. Depois, aconselha, é preciso apresentar as regras de maneira clara e criar maneiras de garantir que ela está sendo cumprida. “Se a regra de segurança não for auditada, ela cai em descrédito e não funciona. Só ter a ferramenta não resolve”, defende.
Para Sergio Alexandre, coordenador do MBA de segurança da informação na FIAP, a educação é o ponto principal para garantir a eficiência da política de defesa. “Só assim os usuários não vão tomar decisões que podem conflitar com a política de segurança. O papel do CSO é de facilitador, para garantir que tudo aconteça da maneira correta, mas também opressor”, afirma.
Eterno conflitoMesmo com a educação e as normas claras, o que nenhum profissional de segurança pode esperar é plena aceitação.
Curiosidade é o motor do usuário, afirma Ramalho, ele quer descobrir o porquê ele não pode acessar ou ter determinados comportamentos. “O papel da pessoa de segurança é orientar o indivíduo e explicar as escolhas”, acredita.
Outro problema comum é a vontade dos usuários de querer ajudar os colegas de trabalho – driblando as políticas de segurança para isso. Conta Teófilo: “O compartilhamento de logins, por exemplo, é um velho problema. Ao tentar agilizar um processo, um funcionário cede o seu login para um colega. Se este colega realizar um mau uso do sistema, o funcionário que cedeu o login será responsabilizado”.
No final, a relação entre funcionários ou alunos e profissionais de segurança será sempre tensa. “O funcionário ou aluno passa por várias fases para aceitar as restrições, de negação a fúria. O desafio do profissional de segurança é ter o apoio dos funcionários”, completa Ramalho.


COMPUTERWORLD
Publicada em 19 de janeiro de 2009 - 07h00

Apanhados Jurídicos Relacionados a Era Digital

Justiça lança canal no Youtube com sessões e programas
Extraído de: OAB - Rio de Janeiro - 29 de Setembro de 2009
O acordo para a criação do canal deve ser assinado na quinta-feira entre o presidente do CNJ (Conselho Nacional de Justiça), Gilmar Mendes, e o diretor-geral do Google na América Latina, Alexandre Hohagen. Além de edições atualizadas de seis programas da TV Justiça, serão veiculadas sessões plenárias do STF (Supremo Tribunal Federal). No futuro, a ideia é incluir também vídeos de julgamentos históricos. A previsão é que o canal entre no ar na quarta-feira.
Autor: Da Folha de S. Paulo

TJ-RO é o primeiro a divulgar lista de precatórios na internetConsultor Jurídico - 07 de Setembro de 2009
A lista de pagamentos de precatórios pelo Tribunal de Justiça de Rondônia já está disponível na internet, pela página do tribunal (Texto completo da notícia em: http://www.jusbrasil.com.br/noticias/1851646/tj-ro-e-o-primeiro-a-divulgar-lista-de-precatorios-na-internet

Remessa eletrônica de processos é adotada por 75% dos tribunaisConsultor Jurídico - 02 de Setembro de 2009
Tribunais de Justiça de 17 estados assinam, nesta quinta-feira (3/9), termo de adesão para enviar processos pela internet para o Superior Tribunal de Justiça. Com essas adesões, 24 das 32 tribunais se integram ao projeto Justiça na Era Virtual , coordenado pelo STJ. A virtualização dos...
Texto completo da notícia em: http://www.jusbrasil.com.br/noticias/1831214/remessa-eletronica-de-processos-e-adotada-por-75-dos-tribunais

STF decide onde devem ser julgados processos contra textos na internetJusPodivm - 30 de Agosto de 2009
O Supremo Tribunal Federal decidirá em breve um impasse típico da era virtual, em mais um caso exemplar de como muitas leis ainda não se adaptaram ao mundo moderno. Quando há um suposto dano moral em texto jornalístico publicado na internet, onde o processo deve ser aberto: no estado de quem...
Texto completo da notícia em: http://www.jusbrasil.com.br/noticias/1808957/stf-decide-onde-devem-ser-julgados-processos-contra-textos-na-internet

Notícias :.
Justiça do Trabalho nega a empregado direito de privacidade em e-mail funcional

Não é ilegal que uma empresa acesse a caixa de correio eletrônicocorporativo de um de seus empregados. Com esse entendimento, oTribunal Superior do Trabalho (TST) rejeitou o recurso de umtrabalhador que questionou sua demissão por justa causa baseada noacesso pela empresa a supostos conteúdos impróprios veiculados noe-mail funcional do demitido. Segundo a corte, o acesso da empresa nãorepresenta violação de correspondência pessoal nem privacidade ouintimidade, já que o equipamento e a tecnologia foram fornecidos pelaempresa.
Para comprovar que havia motivo para demitir o empregado por justacausa, a MBM Recuperação de Ativos Financeiros S/C Ltda. acessou acaixa de e-mail do trabalhador e juntou ao processo cópias demensagens e fotos por ele recebidas. Analista de suporte da MBM entrejunho de 2004 e março de 2005, o trabalhador foi acusado de fazer usoimpróprio do computador. De acordo com a empresa, ele utilizava oequipamento de trabalho para participação em salas de bate-papo e nosítio de relacionamentos Orkut e para troca e leitura de mensagens decorreio eletrônico com piadas grotescas e imagens inadequadas, comofotos de mulheres nuas.
Segundo o trabalhador, que entrou com ação para reverter a justa causacom pedido de indenização por danos morais, o chefe o expôs a situaçãovexatória pelo chefe ao dizer, diante de todos os colegas, que oempregado acessava páginas pornográficas. O analista alegou que acaixa de e-mail que utilizava era pessoal, e não corporativa, e quenão havia conteúdos inadequados.
A 55a Vara do Trabalho de São Paulo julgou improcedentes os pedidos doanalista, por considerar seu comportamento negligente e irresponsável,ao utilizar, indiscriminadamente, o computador da empresa e o tempo detrabalho com mensagens pessoais "de conteúdo fútil e de extremo maugosto, inclusive com conotações de preconceito e discriminação". Maisainda, entendeu que a MBM não violou a privacidade ou agiu de formaarbitrária ao vistoriar sua caixa de correio eletrônico.
O analista recorreu ao Tribunal Regional do Trabalho da 2a Região(SP), que também negou os pedidos do ex-funcionário. Já no TST, orelator do caso, ministro Ives Gandra Martins Filho, afirmou que oe-mail corporativo não se enquadra nos casos em que a Constituiçãoprevê sigilo de correspondência, pois é uma ferramenta de trabalho.
O ministro ressaltou que o empregado deve utilizar o correioeletrônico da empresa de forma adequada e respeitando os fins a que sedestina - inclusive, conclui, "porque, como assinante do provedor deacesso à internet, a empresa é responsável pela sua utilização comobservância da lei".
13/06/2008
Fonte/autor: O Globo Online


Remessa eletrônica de processos é adotada por 75% dos tribunais
Extraído de: Consultor Jurídico - 02 de Setembro de 2009
Tribunais de Justiça de 17 estados assinam, nesta quinta-feira (3/9), termo de adesão para enviar processos pela internet para o Superior Tribunal de Justiça. Com essas adesões, 24 das 32 tribunais se integram ao projeto Justiça na Era Virtual , coordenado pelo STJ. A virtualização dos processos permitirá que advogados e partes consultem as informações de interesse e peticionem em suas causas, tendo acesso aos autos 24 horas por dia, sete dias por semana, a partir de qualquer lugar do mundo....
... ver notícia completa em: Consultor Jurídico

Uso Ético das Ferramentas Tecnológicas Corporativas

De acordo com a advogada Patricia Peck, as empresas precisam estar blindadas juridicamente contra o mau uso que os funcionários podem fazer dos recursos de TIAo mesmo tempo em que o uso intensivo da tecnologia trouxe uma série de facilidades para as empresas, ela impôs um desafio importante para os CIOs: gerenciar a utilização que os funcionários fazem dos recursos tecnológicos. E, o pior, segundo Patricia Peck Pinheiro*, advogada especialista em direito digital, boa parte das empresas tem corrido sérios riscos, por não conseguir dar a atenção necessária ao assunto.
“As empresas precisam orientar os funcionários e terceiros em relação ao uso das ferramentas tecnológicas, bem como à postura que eles precisam ter nos ambientes eletrônicos”, cita Patricia, que acrescenta: “Temos visto muitos casos de assédio sexual ou moral por conta de mensagens de e-mail, as quais nada mais são do que o papel timbrado da empresa, em meio digital.”
Com o intuito de ajudar os líderes de TI a conscientizar todos os funcionários da empresa sobre a postura correta do uso de novos meios de comunicação eletrônica, a advogada criou uma cartilha de cuidados no uso do e-mail, internet e celular corporativo. Seguem os tópicos abordados pela especialista:1. Evite termos coloquiais – use o tratamento formal. Isso evita situação de subjetividade e eventuais confusões geradas devido ao tratamento mais íntimo em situação de trabalho/profissional.Dica: O tratamento mínimo deve ser senhor (sr.) ou senhora (sra.), e não “você”, independente do cargo. Se possível deve ser feito uso da primeira pessoa do plural (ex: “nós gostaríamos de saber”, “vamos agendar”), visto que a comunicação é em nome da empresa.2. Evite o uso de expressões como “beijos” ao final da mensagem – o correto é enviar saudações ou abraços.3. Trate de assuntos gerais de modo discreto e bem-educado – pode-se perguntar como foi o final de semana, desejar um bom dia, felicidades, parabéns, manifestar condolências ou pesar, mas assuntos muito íntimos – que possam gerar algum tipo de constrangimento (ex: questões médicas ou familiares) – devem ser evitados.4. Evite o uso de elogios que possam gerar algum tipo de duplo sentido – pode-se congratular a pessoa por motivo de êxito em tarefas, mas evite elogios que possam estar relacionados à apresentação física ou a partes do corpo, como “linda(o)”, “bonita(o)”, “estonteante”, “maravilhosa(o)” e outros similares.5. Evite convidar para situações ‘a dois’ pessoas que sejam subordinados hierárquicos – o convite para jantar, para um “encontro”, para uma situação de happy hour (que não seja para toda equipe) pode gerar constrangimento e dar a entender eventual assédio moral.
6. Evite falar mal da empresa e/ou de pessoas do trabalho, principalmente com uso de expressões pejorativas, associação com animais, gozação, piada com uso de características físicas ou emocionais. Deve-se lembrar que o ambiente corporativo é monitorado, por isso, intrigas, o uso de palavras para denegrir a imagem de um colega ou chefe podem gerar problemas. E como está por escrito, fica difícil alegar que “não era bem isso o que queria dizer”.
7. Evite fazer uso do e-mail e internet corporativa para buscar emprego em outro lugar – Não se deve enviar currículo pelo e-mail do seu empregador atual. Até para quem recebe do outro lado fica uma situação ruim, pois passa a imagem de que a pessoa não respeita seu local de trabalho.
8. Evite usar ferramentas da empresa como smartphone ou pendrive para armazenar conteúdo particular, fotos mais íntimas – o equipamento corporativo deve ser utilizado para assuntos de trabalho.Dica: O uso da câmera do celular corporativo para tirar fotos que não tenham relação com trabalho tem gerado muitos problemas nas empresas, especialmente quando a imagem é mais íntima e ainda envolve terceiros.
9. Evite usar o notebook de trabalho para salvar conteúdos particulares, ou mesmo navegar na internet em sites não relacionados a trabalho – com a nova lei da Pedofilia, as empresas estão mais atentas e zelosas no tocante ao conteúdo que está em seus computadores e servidores.Dica: É comum filhos ou familiares quererem fazer uso do notebook da empresa quando o profissional o leva para casa. Esse tipo de situação pode gerar vários riscos, inclusive de segurança da informação, bem como de exposição de vida íntima. Dependendo do caso, pode gerar demissão por justa causa.
*Patricia Peck Pinheiro é advogada especialista em direito digital, sócia fundadora da Patricia Peck Pinheiro Advogados e autora do livro “Direito Digital” e do áudio-livro “Tudo o que você deve ouvir sobre Direito Digital”, publicados pela Editora Saraiva.