Note
Access to this page requires authorization. You can try signing in or changing directories.
Access to this page requires authorization. You can try changing directories.
Na última reunião do GT de Segurança do Comitê Gestor da Internet no Brasil, a equipe do professor Antônio Montes apresentou uma palestra sobre o uso de honeynets para detectar e analisar botnets. A apresentação é o resumo de um trabalho de pesquisa excepcional: os pesquisadores do CENPRA capturaram um bot instalado por atacante em seus sistemas, fizeram uma análise do mecanismo de controle utilizado (tratava-se de mensagens via IRC), descobriram o servidor e a senha do canal IRC comandado pelo botmaster, e entraram neste canal para contar os bots controlados.
Por fazer esse tipo de trabalho, o professor Montes precisa no entanto tomar muito cuidado. Não com os bandidos que comandam botnets, mas com entidades como a Safernet, a auto-intitulada "central nacional de denúncias de crimes cibernéticos". Estas entidades estão fazendo um bem articulado lobby contra o instituto da Defesa Digital, um mecanismo proposto do projeto de Lei de Crimes Cibernéticos que protege pesquisas como a feita pelo CENPRA.
O projeto de lei de crimes cibernéticos criminaliza o acesso não autorizado a sistemas informatizados, isto é, a chamada "invasão de sistema". E o que a equipe do CENPRA fez poderia ser caracterizado exatamente como isso, afinal de contas eles acessaram o canal de controle da botnet sem a autorização do botmaster, após quebrar a senha utilizando monitoração de rede. Como condenar os pesquisadores seria um evidente absurdo, a lei cria uma exceção para a Defesa Digital, definida como sendo:
IV – defesa digital: manipulação de código malicioso por agente técnico ou profissional habilitado, em defesa própria, de seu preponente ou da sociedade, e sem risco para terceiros, de forma tecnicamente documentada e com preservação da cadeia de custódia no curso dos procedimentos correlatos, a título de teste de vulnerabilidade, de frustração de invasão ou burla, de proteção do sistema, de monitoração defensiva, de tentativa de identificação do agressor, de exercício de forense computacional e de práticas gerais de segurança da informação.
Notem as diversas qualificações: defesa própria, sem riscos para terceiros, documentada e com cadeia de custória, no contexto de um incidente em andamento. A Defesa Digital não é uma carta em branco para um "justiceiro" atuar na Internet, e sim um mecanismo para proteger atividades legítimas de segurança da informação. Sem a Defesa Digital, trabalhos não só como o do CENPRA como de vários outros pesquisadores e profissionais da segurança da informação ficariam sujeitos a um imenso risco legal.
Quem acha que o que eu estou descrevendo é um exagero não precisa ir muito longe. Exatamente isso aconteceu na Alemanha, onde uma lei de crimes cibernéticos foi aprovada sem a Defesa Digital, exatamente como querem fazer aqui no Brasil entidades como a Safernet. O resultado foi trágico, com projetos como o KisMac tendo que mudar de país e sites como o do PhenoElit fechando.
Há muito tempo já ficou claro que a oposição ao projeto de lei de crimes cibernéticos é ignorante em termos técnicos e que tem pouca ou nenhuma noção de Segurança da Informação. Infelizmente os profissionais da nossa área não têm tido espaço nesse debate, e poucas vozes ressaltam a importância da Defesa Digital (além da ISSA, a advogada Patrícia Peck parece ser uma honrosa exceção). Vamos torcer para que no final o bom senso prevaleça, e profissionais sérios como o do CENPRA possam fazer suas pesquisas sem correr o risco de parar na cadeia.
UPDATE: Um post interessante na lista botnets.
Outro UPDATE: Incluída a menção a ISSA, que colaborou para que a definicão de Defesa Digital fosse melhorada no projeto.
Comments
Anonymous
January 01, 2003
Augusto, obrigado pela lembrança - a ISSA têm sido a melhor porta-voz dos profissionais de segurança nesse debate.Anonymous
November 21, 2007
Cima, apenas lembrando, a definição de defesa digital foi bastante discutida e lapidada durante as reuniões de discussão do Projeto de Lei da ISSA. O formato atual já conta com algumas de nossas sugestões.