CYBERLAW

Aproveitando as discussões relacionadas ao tema “Crimes Eletrônicos” que surgiram durante o Web Security Forum do qual participei nos dias 09 e 10/04/2011, resolvi disponibilizar uma BREVE ANÁLISE COMPARATIVA DOS PROJETOS DE LEI SOBRE CRIMES ELETRÔNICOS: PL 84/1999 (relatado em 2008 pelo Sen. Azeredo) X PL 587/2011 (fruto da reforma do PL anterior; relatado em 2011 pelo Dep. Sandro Alex).

Para fazer download deste documento, basta clicar no link a seguir:
AnalisePLCrimesEletronicos_GiseleTruzzi_abril2011
(Ao referenciar o documento, favor mencionar a autoria).

Continue Reading

Symbian e Android são apontados por especialistas como mais propensos à infecção virtual

Cibercrime muda de foco e spam cai pela primeira vez na história da web; golpes estarão em alta neste ano
ALEXANDRE ORRICO
DE SÃO PAULO

Para manter o sucesso do negócio e não deixar o lucro diminuir, o cibercrime se reinventou.
A primeira mudança clara é a difusão do foco -antes centradas no Windows, cada vez mais as ameaças virtuais se voltam contra outros sistemas e plataformas, como smartphones e tablets.
A conclusão é do Relatório Anual de Segurança de 2010 da Cisco, divulgado no último dia 24.
A McAfee tem uma previsão semelhante para este ano: a empresa estima que haverá um aumento no nível de sofisticação do conteúdo mal-intencionado e que, desta vez, os alvos principais serão os aparelhos com tecnologia móvel.
“Vírus para celulares ainda são apenas ameaças em potencial. Ainda não são uma dor de cabeça para as pessoas, mas isso vai mudar” disse à Folha Ondrej Vlcek, diretor técnico da Avast.
Os dispositivos móveis se tornaram alvo dos criminosos cibernéticos no final de 2008. No ano do ano passado, o números de celulares funcionando superou a quantidade de computadores em operação no mundo.
O número de usuários de celulares inteligentes superará o de computadores já em 2012, segundo Fabiano Tricarico, gerente nacional de vendas da Symantec.
“Hoje, um aparelho celular contém informações confidenciais e supercríticas para os usuários nas mesmas proporções que os computadores e, por isso, são alvos preferenciais. Qualquer equipamento pode se tornar visado, uma vez que haja um contingente enorme de usuários -justificando o tempo investido pelo criminoso e o retorno financeiro no desenvolvimento”, diz o executivo.
Sobre o sistema mais vulnerável a ameaças, os especialistas ouvidos pela Folha têm duas opiniões: os vírus sempre atacam a plataforma com maior uso, simplesmente porque os criminosos querem alcançar o maior número possível de vítimas, o que transformaria o Symbian, da Nokia, no alvo mais procurado. Mas para Ondrej, pela taxa de crescimento e por ter a plataforma aberta, o Android, do Google, é outro sistema que tem um potencial de infecção muito grande.

SPAM E GOLPES
Fora apontar o celular como bola da vez em 2011, o estudo da Cisco revela também que 2010 foi o primeiro ano da história da internet em que o volume de spams diminuiu no mundo.
O resultado foi puxado pelos países em desenvolvimento como Brasil e Turquia, que tiveram uma redução de 47,5% e 87%, respectivamente.
A preferência dos bandidos passou a ser a transferência de dinheiro por meio de laranjas e outros tipos de golpes virtuais.
Como aspectos econôm icos do cibercrime têm crescido e os criminosos passam a ter acesso a mais credenciais financeiras, existe o aumento do uso de laranjas. São pessoas recrutadas para abrir contas em bancos ou utilizar as suas próprias para auxiliar cibercriminosos a sacar ou lavar dinheiro.
Operações com o uso de laranjas estão se tornando cada vez mais elaboradas e atingindo nível internacional. Os especialistas em segurança da Cisco antecipam que esse será o principal foco dos crimes virtuais em 2011.
A maioria dos cibercrimes virtuais explora a crença das pessoas, e não só se utilizam de truques tecnológicos.
O relatório da Cisco lista sete fraquezas que os cibercriminosos exploram das vítimas, seja na forma de e-mails, mídias sociais, chats ou ligações.
São elas: apelo sexual, crença, vaidade, confiança, ociosidade, compaixão e urgência.

<

Fonte: Folha de São Paulo - Caderno FolhaTec - 02/02/2011

http://www1.folha.uol.com.br/fsp/tec/tc0202201111.htm

Continue Reading

Especialista estima ações com os dois tipos de crimes no Brasil neste ano

Ataques também devem crescer em redes como Facebook e Twitter; Orkut vê diminuição de ameaças virtuais

O mercado brasileiro da cibersegurança deve ganhar mais um fator de risco em 2011: o aumento da integração entre os crimes tradicionais e virtuais. As estimativas são de Dmitry Bestuzhev, pesquisador da empresa de segurança Kaspersky.
Em visita a São Paulo, Bestuzhev falou sobre um caso em que cibercriminosos usam ataques virtuais para roubar informações pessoais para, posteriormente, usá-las na falsificação e venda de passaportes. Esse tipo de crime integrado deve crescer e se popularizar em 2011 no Brasil, diz o pesquisador.
O crescimento de redes sociais alternativas ao Orkut no país também deve afetar a escolha dos principais alvos procurados pelos cibercriminosos em seus ataques. “As pessoas estão mudando de redes sociais, então os criminosos também estão mudando”, afirma Bestuzhev.
Com isso, prevê o especialista, devem aumentar os ataques a redes como Facebook e Twitter no Brasil.
E esses ataques devem estar cada vez mais agressivos, focados e profissionais. Bestuzhev também prevê um maior espalhamento de botnets “caseiros” pelo país.

LINHA DO TEMPO

Analisando o comportamento dos ataques virtuais em 2010, é possível fazer uma espécie de linha do tempo que mostra alguns padrões de comportamento dos cibercriminosos. Assim, é possível saber quando estar mais atento às ameaças.
A equipe de Bestuzhev desenhou um gráfico baseado na detecção de trojans -programinhas feitos para roubar informações dos usuários- por mês.
É possível ver, por exemplo, uma diminuição das atividades do cibercrime em períodos como as festas de fim de ano e o Carnaval, segundo o gráfico. “Depois desse período, eles começam a produzir mais códigos maliciosos”, diz o pesquisador.
O espaço de tempo de maior produção de ameaças é entre junho e agosto. “É um tempo bem importante para o cibercrime, já que alguns deles [os piratas da rede] são estudantes e estão de férias nessa época do ano. Nesses meses, eles têm mais tempo para produzir código”, diz Bestuzhev.

Autora: Amanda Demetrio
Fonte: Folha de São Paulo – 05/01/2011 – Caderno “FolhaTec”

Continue Reading

Após o primeiro final de semana de janeiro/2011, fomos surpreendidos com a notícia de um ataque ao site da Presidência do Brasil.

Circulou na mídia que o ataque foi perpetrado através de DDoS (Distributed Denial of Service).
Mas o que é DDoS? Como prevenir esse tipo de ataque? Quais as consequências jurídicas para este tipo de atitude?
Com este breve texto, pretendemos esclarecer essas principais questões ao público em geral.

1. O que é DDoS?
DDoS (abreviação do inglês “Distributed Denial of Service”) consiste no envio indiscriminado de requisições a uma máquina alvo. A característica principal é que nesse tipo de ação não utiliza-se um único computador para iniciar o ataque, mas sim centenas ou milhares de máquinas.
Os primeiros ataques DDoS surgiram em 1999/2000, quando seus agentes deixaram inoperantes sites americanos como Yahoo, Ebay, Amazon e CNN. Logo após, surgiram notícias de ataques a portais brasileiros, tais como UOL, Globo e IG.

2. Como prevenir os ataques DDoS?
Nada é 100% seguro. Não existe fórmula mágica em termos de segurança na Web.
Porém, é possível mitigarmos os riscos deste tipo de ataque adotando algumas medidas:
– Aumentar o nível de segurança das máquinas e servidores;
– Manter atualização permanente dos sistemas e de aplicativos, instalando os patches de segurança recomendados;
– Utilizar filtros anti-spoofing, para impedir o acesso de IPs forjados;
– Limitar o acesso por tipo de tráfego;
– Implementar segregação da rede interna, permitindo acessos conforme o perfil do usuário;
– Possuir Política (PSI) e Normas (NSI) de Segurança da Informação atualizadas, com abordagem técnico-jurídica, implantadas e acessíveis a todos os colaboradores;
– Ter um plano de conscientização em Segurança da Informação que atinja todos os colaboradores;
– Praticar a Segurança da Informação no dia-a-dia;
– Possuir uma Norma de Tratamento e Resposta a Incidentes, para orientar os colaboradores quanto aos procedimentos a serem observados caso ocorra esse tipo de ataque ou qualquer outro incidente;
– Ter uma Equipe de Resposta a Incidentes, que deverá possuir treinamento específico e estar preparada para simulação, resposta e resolução dos incidentes (eletrônicos ou não);
– Possuir um Plano de Contingência, para garantir a disponibilidade dos serviços na ocorrência de um incidente.

É importante conhecermos o nosso inimigo, para que possamos combatê-lo.

3. Quais as consequências jurídicas que um ataque DDoS pode produzir?
Se o ataque causar indisponibilidade total, parcial, temporária ou definitiva dos serviços, poderá ser configurado o crime de DANO, previsto no art. 163 do Código Penal:
Art. 163 – Destruir, inutilizar ou deteriorar coisa alheia:
Pena – Detenção, de 1 (um) a 6 (seis) meses, ou multa.

No caso do ataque ao site da Presidência, como o “alvo” visado é relacionado à própria União, o crime seria de DANO QUALIFICADO, conforme o inciso III do parágrafo único do mesmo artigo. Vejamos:

Parágrafo único – Se o crime é cometido:
I – com violência à pessoa ou grave ameaça;
II – com emprego de substância inflamável ou explosiva, se o fato não constitui crime mais grave;
III – contra o patrimônio da União, Estado, Município, empresa concessionária de serviços públicos ou sociedade de economia mista; (Alterado pela L-005.346-1967);
IV – por motivo egoístico ou com prejuízo considerável para a vítima.

Conforme noticiado pela mídia, a Procuradoria Geral da República já iniciou as investigações e pretende punir os responsáveis.

Importante lembrar que tramita na Câmara dos Deputados o Projeto de Lei sobre Crimes Eletrônicos – PL 84/99, que prevê, no novo artigo 163-A, a figura do crime de “dano eletrônico”, prevendo punição específica para o dano praticado através de meios eletrônicos.

Porém, não precisamos aguardar que este Projeto torne-se uma Lei, para que então possamos punir os responsáveis por crimes praticados através dos meios eletrônicos.
Nossa legislação já é suficiente para buscarmos a penalização destas condutas, conforme demonstrado no caso do ataque ao site da Presidência.

Referências:
- Folha de São Paulo
- SSegurança – Blog do Sandro Suffert
- Five ways to defend against a DDoS atack
- Tudo o que você precisa saber sobre os ataques DDoS.

Continue Reading

Divisão foi inaugurada em Porto Alegre e é uma das pioneiras no país

O Rio Grande do Sul agora tem uma delegacia especializada em crimes virtuais. Com o aumento de delitos desse tipo no Brasil e, também, na região, a Polícia Civil do estado, como parte do plano de reestruturação do Departamento Estadual de Investigações Criminais (Deic), criou, em 2006, a Delegacia de Repressão aos Crimes Informáticos (DRCI), que foi instalada na última semana. A sede funcionará no prédio do Deic, em Porto Alegre, e as denúncias poderão ser feitas via web, pelo e-mail ou twitter da divisão.

O responsável pela DRCI do Rio Grande do Sul é o delegado Émerson Wendt, que dirige a Divisão de Assessoramento Especial do DEIC e coordena o curso de Inteligência Policial, na Academia de Polícia Civil (Acadepol). Segundo ele, as investigações terão como foco a análise de domínios e a origem de e-mails, que são as principais fontes de fraude.

Além dos comuns delitos relacionados a fraudes bancárias e com cartões de crédito, a delegacia investigará, também, casos de crimes contra a honra (calúnia, injúria e difamação) e ameaças. O delegado, inclusive, lembra que as redes sociais ainda são um “grave vetor” de crimes desse tipo.

A delegacia recebe denúncias pelo e-mail drci@pc.rs.gov.br, pelo Twitter www.twitter.com/drci_rs e, de acordo com Wendt, a divisão planeja a criação de uma página para denúncias online.

No Brasil

Hoje, no Brasil, há poucas delegacias especializadas em crimes virtuais. Mas as já instaladas estão habilitadas para receber denúncias de qualquer parte do Brasil. De acordo com o site Safernet.org.br, especializado em prevenção de fraudes virtuais, além do Rio Grande do Sul, Distrito Federal, Espírito Santo, Rio de Janeiro, São Paulo, Goiás, Minas Gerais e Paraná também possuem divisões próprias para investigações de cibercrimes.

Para ver os endereços e canais de contato das delegacias, clique aqui

Fonte: http://www.administradores.com.br/informe-se/tecnologia/delegacia-especializada-em-crimes-virtuais-recebe-denuncias-via-twitter/35231/

Continue Reading

Vale a pena fazer o download desta cartilha didática, elaborada pelo WCF Brasil, sobre pedofilia na Internet.

Cartilha sobre PEDOFILIA na INTERNET

Continue Reading

A piora da economia parece ajudar fraudadores na Internet em uma de suas atividades mais difíceis: enganar as pessoas para que abram suas casas e contas bancárias e se tornem “laranjas” em esquemas de lavagem de dinheiro e bens roubados.

» Guerra está sendo perdida dentro de milhões de PCs
» Especialistas travam guerra contra redes de PCs zumbis
» Mais de 90% dos PCs foram invadidos no 1º semestre

Os golpes em si não são novidade. Eles são enviados em spams como “trabalhe em casa,” que prometem renda complementar excelente ajudando companhias a pagar clientes em outros países. O golpe pede que as vítimas abram novas contas bancárias com seus nomes, concordem em aceitar pagamentos anônimos e em encaminhar esses valores por transferência bancária, normalmente, para localidades da Europa oriental.

O esquema é a clássica lavagem de dinheiro com um toque de Internet. O dinheiro geralmente é real e uma parcela é prometida ao intermediário. O que esses intermediários podem não saber é que estão traficando ganhos ilícitos e ajudando criminosos a efetuarem pagamentos entre si sem revelar a fonte. E os laranjas têm normalmente o maior risco de prisão.

Usuários de computador experientes geralmente identificam o golpe. Mas pesquisadores em segurança dizem que as pessoas estão dispostas a assumir o risco enquanto o desemprego cresce e o volume de e-mails com o esquema aumenta.

“Quando as pessoas estão com medo de uma demissão ou preocupadas com as contas, elas podem encarar algo desse tipo de forma diferente do que fariam se as coisas estivessem lindas e maravilhosas,” disse David Marcus, diretor de pesquisa e comunicação em segurança da McAfee Inc.

Os anúncios para esses trabalhos se tornam cada vez mais convincentes, mas parte de sua sedução é a falta de detalhes que convence alguém com muita vontade de acreditar em dinheiro fácil de que a mensagem é legítima. Os cargos oferecidos geralmente incluem variações de “representantes de vendas internacionais” ou “gerentes de remessas.”

O relatório anual de crimes virtuais da McAfee, publicado na terça-feira pela empresa de segurança na Internet, afirma que 873 páginas de recrutamento foram encontradas na Grã-Bretanha na primeira metade de 2008, um aumento de 33% em relação ao mesmo período de 2007. Os dados foram compilados pela APACS, associação de serviços de pagamentos do Reino Unido.

Mais evidências surgiram de um estudo recente do Panda Security, fornecedor espanhol de softwares que registrou recorde nas mensagens relacionadas a empregos. Elas corresponderam a 0,31% de todo o spam de outubro, quase o triplo da proporção de agosto. A taxa de sucesso no recrutamento de laranjas aumentou 1,8% em outubro, de 0,5% em agosto.

A companhia rastreou esses números em parceria com outra grande firma de segurança, não identificada no relatório, que monitora as redes de laranjas em funcionamento. O Panda Security observou sete grandes operações na América do Norte. Os ataques a computador em geral cresceram drasticamente nos últimos meses.

A IBM afirma que o número de ataques diários registrados contra servidores e redes de computadores aumentou 30% nos últimos quatro meses, para mais de 2,5 bilhões de tentativas ao redor do mundo. “São números muito assustadores,” disse Gunter Ollmann, pesquisador-chefe em segurança da equipe da IBM, a X-Force.

Fonte: Terra Tecnologia

Continue Reading

SÃO PAULO – As ações legais ligadas a problemas na internet no Brasil cresceram de 400, em 2002, para mais de 17 mil atualmente, informou o Superior Tribunal de Justiça.

A lista de processos inclui crimes contra a honra – injúria, calúnia e difamação -, furtos, extorsão, ameaças, violação de direitos autorais, pedofilia, estelionato, fraudes com cartão de crédito e desvio de dinheiro de contas bancárias.

Apesar dos esforços para tipificar e punir os crimes cibernéticos – como o substitutivo do senador Eduardo Azeredo –, para uma parcela dos juristas, a internet não é terra sem lei. Eles defendem que mais de 95% dos crimes podem ser enquadrados na legislação atual, segundo o STJ.

“Os outros 5% para os quais faltaria enquadramento jurídico abrangem transgressões que só existem no mundo virtual, como a distribuição de vírus eletrônico, cavalos-de-tróia e worm”, diz o órgão de justiça em um texto publicado em seu site.

Espalhar boatos eletrônicos sobre pessoas pode se enquadrar no crime de difamação (artigo 139), por exemplo, e utilizar dados da conta bancária de outra pessoa para desvio ou saque de dinheiro pode se enquadrar em furto (artigo 155). O STJ destaca ainda que há artigos para punir injúria, crime contra honra e pedofilia, entre outros.

Crime e castigo

A Justiça gaúcha, por exemplo, que condenou um homem a pagar à ex-namorada indenização por danos morais no valor de R$ 30 mil por ter divulgado mensagens na web chamando-a de garota de programa.

Em Minas Gerais, um tribunal decidiu em favor de um empresário que teve seu negócio de criação de avestruzes difamado no Orkut.

Já o hacker Otávio Oliveira Bandetini foi condenado a 10 anos e 11 meses de prisão por desviar R$ 2 milhões de contas bancárias de terceiros.

Fonte: http://info.abril.com.br/aberto/infonews/112008/25112008-19.shl

Continue Reading

Relatório Undergound Economy Report aponta que bens roubados e serviços relacionados a fraude movimentaram US$ 276 milhões no período de um ano. O montante refere-se aos dados coletados pela Symantec, entre os dias 1º de julho de 2007 até 30 de junho de 2008, nos servidores da economia virtual paralela.
Cartão de crédito é a categoria mais anunciada no mundo do cibercrime, respondendo por 31% do total dos bens e serviços, seguida pelas contas financeiras, cuja participação é de 20%. A América do Norte hospedou o maior número desses servidores, com 45%; Europa/Oriente Médio/África representaram 38%, seguidos por Ásia-Pacífico com 12% e América Latina com 5%.  As localizações geográficas dos servidores da economia paralela mudam constantemente para evitar a detecção.

Preços e potencial – Embora os números de cartão de crédito roubados sejam vendidos por valores baixos, entre US$0,10 e US$25 por cartão, a média de limite dos cartões de crédito roubados anunciados era de mais de US$ 4.000. A Symantec verificou também que o valor potencial de todos os cartões de créditos anunciados, durante o período de relatório, era de US$ 5,3 bilhões.

A popularidade de informações de cartão de crédito se deve porque são fáceis de usar para compras online, e geralmente é difícil para os vendedores e operadoras de cartão identificar e lidar com transações fraudulentas antes que os fraudadores completem essas transações e recebam seus bens. Além disso, informações de cartão de crédito são freqüentemente vendidas em pacotes (atacado), com descontos ou números gratuitos sendo oferecidos de acordo com o tamanho da compra.

Já contas financeira são vendidas por valores entre US$ 10 e US$ 1.000, o saldo médio das contas correntes anunciadas é de aproximadamente US$ 40.000. Calculando a média do saldo de uma conta bancária anunciada juntamente com o preço médio dos números de contas roubadas, o valor potencial de contas correntes anunciadas durante o período de relatório seria de US$ 1,7 bilhão. A popularidade de informações de contas bancárias deve-se provavelmente ao seu potencial de alto retorno, e à velocidade com que essas retiradas podem ser feitas.  Em um dos casos observados, o dinheiro foi transferido online em menos de 15 minutos para locais impossíveis de se rastrear.

Metodologia da pesquisa – Durante o período de relatório, a Symantec observou 69.130 diferentes anunciantes ativos, e um total de 44.321.095 mensagens anunciadas em fóruns piratas da economia paralela. O valor potencial do total de bens anunciados para os 10 maiores anunciantes foi de US$ 16,3 milhões em cartões de crédito e US$2 milhões em contas bancárias.  Além disso, o valor potencial dos bens anunciados pelo maior anunciante identificado pela Symantec durante o período de estudo foi de US$6,4 milhões. 

Fonte: Risk Report

Publicado em 24/11/08

Continue Reading

O presidente Luiz Inácio Lula da Silva sancionou nesta noite, no Rio de Janeiro, a lei resultante do projeto de lei 3773/08, que aumenta as penas para crimes de pedofilia na Internet. O texto, que visa a suprir lacunas nas leis no meio virtual, passa a criminalizar quem armazena material pedófilo, o que não era previsto no Estatuto da Criança e do Adolescente (ECA). O réu poderá ser condenado de 1 a 4 anos de prisão. As informações são da Agência Câmara.

O projeto foi aprovado pela Câmara dos Deputados no dia 11 de novembro. Lula fez o anúncio da sanção da lei ao participar da abertura do 3º Congresso Mundial de Enfrentamento da Exploração Sexual de Crianças e Adolescentes, na capital fluminense.

Antes da aprovação do projeto de lei, o ECA previa pena de 2 a 6 anos de prisão para quem produzisse conteúdo pedófilo. Agora a pena será de 4 a 8 anos.

A grande novidade nessa tipificação é o aumento da pena de 1/3 se o agente comete o crime prevalecendo-se de relações domésticas, de coabitação ou hospitalidade; de qualquer parentesco até o terceiro grau; ou de autoridade, a qualquer título, sobre a criança; ou ainda com o seu consentimento.

O crime de venda de material contendo pedofilia também teve a pena aumentada de 2 a 6 anos para de 4 a 8 anos. A penalização para quem troca esse tipo de conteúdo passou de 2 a 6 anos para de 3 a 6 anos de prisão.

Aliciamento na web
Outra novidade do projeto de lei é a tipificação para o aliciamento de crianças e adolescentes por meio de salas de bate-papo. Segundo as autoridades, a prática é bastante comum e considerada a mais perigosa, pois por meio dela o pedófilo têm condições de marcar encontros com as crianças.

Essa prática não era considerada crime porque o ECA foi criado em 1990. Somente depois disso a Internet ganhou espaço e as salas de bate-papo se tornaram cada vez mais comuns.

Comunicação de abusos
O projeto de lei também prevê a comunicação de abusos feita de forma direta para a Polícia Federal e para o Ministério Público. Quando um usuário detectava indícios de pornografia infantil em algum site, ele comunicava o abuso diretamente ao provedor. Agora, o aviso do usuário chegará diretamente às autoridades, dando mais agilidade ao processo.

Além disso, a proposta estabelece que, quando as autoridades entrarem em contato com determinado provedor comunicando o abuso, o provedor terá que encerrar o acesso do usuário suspeito ao site e armanezar os dados para que a polícia tenha como encontrá-lo.

* Para verificar o inteiro teor do Projeto de Lei nº 3773/08 clique aqui.

Fonte: Redação Terra

Continue Reading