Lei Azeredo: pesquisadores e invasores no mesmo saco por: José Antonio Milagre (jose.milagre@legaltech.com.br) é advogado em São Paulo especializado em Direito Eletrônico e IT and Environmental Compliance Prestes a ser votada, Lei Azeredo tem pontos positivos mas ameaça a cultura e pesquisa de segurança da informação. Como deveria ser do conhecimento de todos, hackers, ao contrário de crackers, utilizam seus conhecimentos para o aprimoramento da segurança de sistemas e não invadem sistemas com a intenção danosa. Mas invadem sistemas, fato! Mas será que o PL 84/1999, a chamada “Lei Azeredo”, alcança esta distinção técnica, ou trata todos como cibercriminosos, como é, aliás, o entendimento de algumas autoridades que se manifestam a respeito? Em maio de 2011, o Projeto 84/1999 teve novo relatório, também pelo (agora Deputado) Azeredo, que tentou costurar alguns termos de modo a tornar o projeto “mais aprazível”. Fato é que o mesmo será votado pela Comissão de Ciência e Tecnologia da Câmara, e pode ser aprovado a qualquer momento. Mas, suprimir “termos polêmicos” da legislação projetada, como o próprio Senador anunciou, significa efetivamente preservar direitos e garantias fundamentais dos cidadãos e pesquisadores de segurança? Vejamos, no decorrer desta análise. Dentre as principais modificações do relatório, tivemos a remoção dos textos “dispositivos de comunicação” e “rede de computadores” dos tipos penais trazidos, segundo o relator, para “impedir a criminalização de condutas banais”. Mas condutas banais continuam em risco de serem consideradas criminosas.[ad#Retangulo – Anuncios – Direita] Três artigos, com profundo impacto nas pesquisas realizadas por profissionais de segurança, serão estudados, abaixo descritos: Acesso não autorizado a rede de computadores, dispositivo de comunicação ou sistema informatizado Art. 285-A. Acessar rede de computadores, dispositivo de comunicação ou sistema informatizado, sem autorização do legítimo titular, quando exigida: Pena – reclusão, de 1 (um) a 3 (três) anos, e multa. Parágrafo único. Se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime, a pena é aumentada de sexta parte. Obtenção, transferência ou fornecimento não autorizado de dado ou informação Art. 285-B. Obter ou transferir dado ou informação disponível em rede de computadores, dispositivo de comunicação ou sistema informatizado, sem autorização ou em desconformidade à autorização, do legítimo titular, quando exigida: Pena – reclusão, de 1 (um) a 3 (três) anos, e multa. Parágrafo único. Se o dado ou informação obtida desautorizadamente é fornecida a terceiros, a pena é aumentada de um terço. Inserção ou difusão de código malicioso Art. 163-A. Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado. Pena – reclusão, de 1 (um) a 3 (três) anos, e multa. Inserção ou difusão de código malicioso seguido de dano § 1º Se do crime resulta destruição, inutilização, deterioração, alteração, dificultação do funcionamento, ou funcionamento desautorizado pelo legítimo titular, de dispositivo de comunicação, de rede de computadores, ou de sistema informatizado: Pena – reclusão, de 2 (dois) a 4 (quatro) anos, e multa. Bom, para entender quais foram as mudanças nos artigos, apenas os leia sem as expressões “rede de computadores” e “dispositivo de comunicação”. Avançamos realmente em prol de uma legislação lúcida, no que tange às pesquisas de segurança? Receio que não. Primeiramente, em se tratando do crime previsto no art. 285-A (acesso não autorizado a rede de computadores, dispositivo de comunicação ou sistema informatizado), o “acesso” continua sendo “não autorizado”, de modo que deixa a cargo do titular do “sistema informatizado” reputar as condições de autorização (que podem não ser tão expressas), como “integrador” da lei penal, o que é um perigo, diante de nítida subjetividade, que pode ensejar manobras maliciosas para prender pesquisadores e profissionais éticos. Imagine que você, ao invés de acessar um site via browser, utiliza um crawling ou se utiliza do comando “wget” no site; este acesso está se dando a um sistema informatizado (website) e de uma forma não trivial (browsing), logo, você pode ser punido por fazer download do site. Imagine em um pentest (teste de intrusão), onde via “sql injection” você consegue bypassar o sistema de login do precitado portal, adentrando na área administrativa ou mesmo descobre o arquivo de conexão que lhe permite realizar uma conexão nativa com o banco de dados. Ora se hoje, CSOs na grande maioria, são arredios e se revoltam com “pesquisadorezinhos” que se intrometem em seu trabalho e expõe vulnerabilidades, imaginem, quando eles descobrirem que tais atividades passam a ser criminosas? Uma simples script em php usando a expressão ? passthru($_GET[“cmd”]); ?, concatenado em uma querystring, para gerar um registro no errors.log, que simplesmente te permite a execução do Shell (cmd), e que o pesquisador testou em um sistema, mesmo que não tenha sido contratado, causado dano, indisponibilidade ou copiado informação alguma, apenas para provar o conceito, seria, em tese, acesso indevido a sistema informatizado. Ora, como testar a segurança de um sistema se o acesso é criminoso? E que nem se argumente que pode-se inserir na redação do tipo a expressão “através de meio fraudulento” e estaria resolvido o problema, sendo que somente crackers seriam pegos. Ledo engano, os hackers utilizam de destreza e técnicas de subversão de sistemas, logo, é fato que adulteram, enganam os sistemas testados. O que difere um cracker de um hacker não são, em regra, as ferramentas ou meios usados, mas a intenção dos agentes. Alguns podem argumentar que os riscos de injustiças acima expostos não existem, já que a conduta punível deve ser sempre “dolosa”, com intenção, porém, não nos perece crível que um pesquisador de segurança tenha de provar que não tinha intenção fraudulenta ou de obtenção de quaisquer vantagens, tendo de se expor constantemente em face de investigadores, inquéritos, averiguações, dentre outras. O simples fato de comparecer em um “DP” para prestar esclarecimentos, para um pesquisador Hacker, é fato constrangedor ao extremo e pode se intensificar com a aprovação da lei. Já, em se analisando o artigo 285-B da “Lei Azeredo” (Obtenção, transferência ou fornecimento não autorizado de dado ou informação), temos o mesmo problema e pior, com uma conduta passiva