Friday, November 10, 2006

BENEFICIADOS S/A x LIBERDADE Ltda

TUDO QUE NÃO QUEREM QUE VOCÊ SAIBA SOBRE O QUE ESTÁ POR TRÁS DA LEI DE CRIMES DA INTERNET

Não se iludam. A polêmica toda em torno do Projeto surge porque ele é, desnecessariamente, um “dois em um” apresentado como se fosse um terceiro produto, único e indissolúvel – isso porque o produto final não tem nada a ver com a mistura dos dois que lhe compõem. Por trás da Lei de Crimes de Informática estão dois objetivos diferentes, porém futuramente congruentes, que estão unidos, agora, para que um se esconda atrás do outro, alternadamente, de modo que os defeitos de um possam ser diminuídos pelas vantagens do outro e vice-versa. Não entendeu? “Flollow the money” (siga o dinheiro). Eu explico.

Um dos objetivos é, sem sombra de dúvidas, tirar do alcance de um número cada vez maior de cidadãos a oportunidade que a Internet pode lhes oferecer de adquirirem cada vez mais informações e conhecimento e de criarem novas agremiações sociais, com capacidade de mobilização – um pesadelo para os que se locupletam do poder às custas da corrupção e da ignorância alheia. O outro objetivo é simplesmente criar a insegurança para lucrar com a venda de segurança, ou a dificuldade para vender facilidade. Os dois objetivos, aparentemente diferentes em sua concepção, logo ali adiante, se encontram na sua conseqüência lógica: ganhar dinheiro e, através dele, o poder.

Tanto é assim que "permitir acesso por usuário não identificado e não autenticado" por parte dos provedores passa a ser um delito imputável equiparado a práticas criminosas como envio de vírus e quebra de privacidade de banco de dados. O excesso de exigências nos processos de validação dos dados cadastrais de usuários, sejam eles pessoas físicas ou jurídicas, praticamente os obriga à certificação digital, já que os provedores devem fazer disso uma exigência para cadastrar usuários, na medida em que eles mesmos não teriam como fazer as devidas verificações e muito menos assegurar a veracidade das informações fornecidas. Caso isso venha a acontecer, das duas uma: ou teremos a Internet segura (a dos ricos) e a “da galera” (onde pouca coisa será oferecida), ou eliminaremos esta última e institucionalizaremos a exclusão digital dos cidadãos menos financeiramente afortunados do país – sim, porque certificados digitais são caros.

Outro problema é que associar segurança à certificação digital só faz sentido quando ela é um diferencial importante entre comunicações seguras e não-seguras. Se o Certificado Digital vier a se tornar a regra, “os programas maliciosos para roubo de identidade que surgirão irão simplesmente procurar arquivos de chaves privadas nos computadores das pessoas e, depois de encontrá-los, passar a usá-los com identificação legal”. A advertência, que foi divulgada pelo Blog
Alerta Total, é do professor e engenheiro Amílcar Brunazo, uma das maiores autoridades em informática e segurança digital do Brasil. O professor ainda faz um outro alerta importante: “pela MP 2200-2, o usuário que tiver sua chave privada usurpada, terá que arcar com o ônus da prova de que teve seu certificado copiado". Por último, o leitor encontrará abaixo, no item "Como Escapar do Cerco", uma lista de softwares e de servidores de e-mail que simplesmente são antídotos contra vigilância.

Por mim, a discussão sobre o tal projeto acabaria aqui – o lixo seria o seu destino. Mas, como bem sei que não sou a dona da verdade e que, como milhares de brasileiras, seja considerada pelas autoridades “destepaís” uma cidadã-ninguém (mistura de quem paga todos os tipos de impostos possíveis mas cuja opinião jamais é ouvida), prosseguirei com os esclarecimentos sobre o assunto.

Dois a quatro anos de prisão para os usuários que não fornecerem nome, endereço, telefone, RG e CPF (com as devidas cópias, em papel) aos provedores de acesso da Internet, antes de poderem se cadastrar para iniciar qualquer operação que envolva interatividade, como envio de e-mails, conversas em salas de bate-papo, criação de blogs, captura de dados (baixar músicas, filmes, imagens), entre outras coisas. Os provedores, além de passarem a ser os responsáveis pela verificação das informações fornecidas pelos usuários estarão também sujeitos à mesma pena, caso permitam o acesso de usuários não cadastrados ou que forneçam documentação falsa. Também será responsabilidade dos provedores armazenar todo o tipo de atividade “internética” (e-mails enviados e recebidos, sites visitados, etc.) de seus usuários por um período de no mínimo 3 anos.

Estas são apenas algumas das medidas descritas no projeto que seria votado no último dia 8 de novembro, pela Comissão de Constituição, Justiça e Cidadania no Senado (CCJC). A proposta, com redação final do senador Eduardo Azeredo (PSDB), que conta com a colaboração de seu assessor José Henrique Portugal (ex-diretor do Serpro), reúne proposições de projetos que vinham tramitando no Senado e na Câmara dos Deputados com a finalidade de determinar penas para crimes digitais e imputar responsabilidades aos provedores e usuários de Internet no Brasil. O parecer final da Comissão, que seria agora em 8/11/06, foi temporariamente adiado por causa da polêmica que causou a imputação de responsabilidades aos provedores e aos usuários de Internet. (veja, abaixo, o item O Projeto)

A lista de condutas que passariam a ser criminalizadas e punidas com penas que variam entre três e dez anos de detenção inclui, entre outras, dano por difusão de vírus digital, falsificação de cartão de crédito ou débito, obtenção indevida de informação na rede e difusão maliciosa de código com a intenção de obter dados pessoais dos usuários, como senhas bancárias (é o pishing – envio de e-mails não solicitados que apontam um link para um serviço falso, onde senhas e outras informações são capturadas).

O texto do projeto de Lei de Crimes da Internet é defendido por instituições financeiras e criticado por ONGs, por advogados e por provedores de acesso à Internet. Sendo que, o que mais preocupa a estes últimos não é a privacidade dos usuários, mas a parte que trata da co-responsabilidade dos provedores na veracidade das informações prestadas por estes. A Abranet (Associação Brasileira de Provedores de Acesso de Serviços e Informações da Rede de Internet) alega que os provedores têm interesse em ajudar no trabalho da Justiça e que, por isso, já assinaram convênio com o Ministério Público Federal a fim de facilitar o acesso e a busca de informações nas investigações, na medida em que é possível identificar as máquinas a partir das quais são cometidos os crimes na rede, por causa do registro do IP (protocolo Internet) utilizado pelos usuários quando fazem uma conexão. Sem falar que, a maioria dos crimes é praticada com a utilização de endereços eletrônicos de provedores estrangeiros - portanto, fora do alcance da legislação brasileira.

Ninguém tem a menor dúvida de que estes e ainda outros tipos de crimes cometidos através da Internet devam ser devidamente qualificados e suas penas justamente estabelecidas, assim como também que medidas de segurança devam ser adotadas e permanentemente recriadas por empresas, por entidades financeiras e por provedores, à medida que novas especificidades de delitos forem surgindo. Esse tipo de procedimento “policial” não é exclusividade da Internet – funciona assim com todos os tipos de crime: para cada medida de segurança tomada, surgem novas formas de ataque criminoso, ou vice-versa. É bom esclarecer, também, que, mesmo sem legislação específicas para crimes via internet, muitas pessoas têm sido presas e condenadas com base nas leis existentes.

Mas, quem melhor definiu o projeto, não sei se por ato falho ou por qualquer coisa parecida, foi o próprio relator, o senador Eduardo Azeredo: “Quem usa normalmente a Internet não tem nada a temer e não muda nada para essa pessoa. Agora quem se esconde atrás do anonimato teria que ser importunado, teria que se recadastrar para poder usar normalmente os e-mails”. (O grifo é meu)

O senador relator conseguiu resumir nesta pequena resposta que o projeto apresentado parte de premissas completamente erradas, mas que servem, no entanto, para os objetivos almejados. Nunca antes na história “destepaís” se disse tanto em tão poucas palavras. Em primeiro lugar, como veremos ao longo desta matéria, quem usa normalmente a Internet tem muitas coisas a perder sim e, também ao contrário do que disse o senador, terá que fazer muitas mudanças – a principal delas financeira – para poder continuar navegando pela rede. Mas, vamos começar pela questão do anonimato.

Anonimato? Ora, não há o que se discutir a esse respeito. Está na
Constituição Federal: “é livre a manifestação do pensamento, sendo vedado o anonimato" (art. 5º inciso IV), fazendo referência, explícita e apenas, à manifestação pública de idéias – cartas e e-mails, a não ser por solicitação e/ou autorização de quem os escreva, não são públicos. Portanto, a Constituição garante ao cidadão o direito de enviar correspondências e de fazer denúncias anonimamente, ao contrário do que vem pregando o Senador Eduardo Azeredo, ao defender o PLS 76. “Hoje, qualquer pessoa pode enviar uma mensagem, por exemplo, com uso de identidade falsa. Isso não interessa a nenhuma pessoa de bem", diz Azeredo. Como não interessa? Como é que o Senador pensa que funciona o Disque-Denúncia? Só porque agora já não é mais monopólio da polícia e da imprensa (quase sempre ideológica ou financeiramente comprometida) decidir o que fazer com as denúncias que recebe?

É isso aí. O negócio é impedir que pessoas normais possam fazer denúncias, trocar documentos probatórios e até mesmo obter informações que não são divulgadas normalmente pelos meios de comunicação de massa. Exigindo identificação formal de todos os que usam esse fantástico meio de informação, o projeto não está preocupado em cercear a liberdade de falsários e criminosos (que sempre encontrarão meios de cometer seus crimes), mas com gente comum que anda fornecendo ou obtendo informações demais e, conseqüentemente, impedindo que se configure o quadro de desinformação total que tem permitido a perpetuação de mentiras e do poder de pessoas que dependem da ignorância popular para se manter onde estão. Sob permanente vigilância, se essa “Lei” for aprovada, gente como a gente, dependendo das informações que troque pela Internet, poderá se ver às voltas com problemas do tipo que o
jornalista Carlos Chagas anda enfrentando com o INSS.

A identificação ”pormenorizada e mediante comprovação” dos cerca de 30 milhões de brasileiros que acessam a Internet não faz o menor sentido se medidas semelhantes não forem adotadas no mundo inteiro – o que não está absolutamente fora de cogitação, mas que ainda não é “politicamente” exeqüível. Entretanto, aqui dentro de casa, uma outra medida pode e tende a ser adotada, antes disso e logo após a aprovação do Projeto de Lei de Crimes de Informática assim como está: é o bloqueio de acesso e/ou filiação a provedores internacionais, a partir de computadores sitiados no Brasil. Controle, controle, controle – são as andanças do governo mundial que muita gente acredita tratar-se de ficção.

Enquanto o mundo não imitar o Brasil e se essa “Lei” passar assim como está, criminoso que é criminoso vai usar provedores estrangeiros que não exijam tantas providências legais e burocráticas para sua inscrição. Se é que já não o façam hoje, pois esta seria a lógica, já que isso dificulta a sua identificação por parte das autoridades brasileiras. Dificulta apenas – de maneira nenhuma impede, tanto a localização como a identificação do criminoso. Nem mesmo o acesso à rede a partir de cybercafes é empecilho para que se identifique um criminoso.

Um caso relatado pelo diretor do Instituto de Peritos em Tecnologias Digitais e Telecomunicações (IPDI), Otávio Luiz Artur, para a Folha de São Paulo (07/01/2006) é um bom exemplo disso. Uma corporação pediu que se identificasse o responsável pelo envio de e-mails que difamavam um alto executivo de seus quadros. Descobriu-se, através do IP (espécie de impressão digital dos computadores), que a máquina utilizada para o envio dos e-mails ficava em um cybercafe. Como descobriram quem usava a máquina? Analisando as fitas com imagens do local. Ficou curioso? O responsável era a própria vítima - "Ele criou um cenário irreal em sua cabeça, no qual poderia ser promovido, caso conseguisse sensibilizar seus superiores", explicou o diretor do IPDI, depois de esclarecer que o indivíduo apresentava distúrbios psicológicos. É assim que funciona: trabalho de investigação no mundo da informática associado ao de investigação policial tradicional.

Usuário que é usuário também buscará os provedores internacionais se o projeto for aprovado, pois tudo indica que terá de pagar mais pelos serviços dos provedores nacionais, além de estar mais exposto aos riscos de ter os bancos de dados com informações pessoais extraviados para fins ilegais ou até mesmo devassados pela via judicial. Alguém aí se esqueceu do que aconteceu com o caseiro Francenildo? Acho que não.

Aliás, cita-se esse caso porque ficou escandalosamente famoso; mas há uma série de outros sobre os quais se poderia falar, como, por exemplo, pessoas que recebem e-mails que na verdade não foram enviados por quem aparece no item “De:”, mas, por estranhos, que entram no comando do e-mail desse indivíduo e enviam mensagens como se fossem o próprio. E não é o tal do spam que manda vírus, não. É alguém a quem interessa que milhares de pessoas possam enviar “respostas desaforadas” exatamente para o endereço eletrônico da vítima (que, nesse caso, é considerada pelos que enviam as tais respostas desaforadas como sendo a responsável pelo envio do e-mail que as gerou).

Há ainda casos de verdadeira violação de correspondência alheia, suspeita-se, dentro dos próprios provedores. Descobre-se esse fato porque, mais cedo ou mais tarde, o “espião” se manifesta (como um menino “alopradinho”), enviando mensagem, a título de “resposta à ofensa”, através do e-mail de um conhecido da vítima de espionagem (como se fosse o próprio) com o qual a vítima troca mensagem exclusiva, ou seja, uma conversa que foi estabelecida somente (pelo menos era o que se supunha) entre duas pessoas. Estas trocam telefonemas para esclarecer o ocorrido e descobrem que a tal “resposta ofensiva” não foi enviada nem pela vítima de espionagem nem pelo conhecido.

Voltando à polêmica do projeto de lei. Uma pessoa que vá ao correio colocar uma carta, ou mesmo que use um telefone público para se comunicar com alguém não necessita se submeter a todo um processo de identificação e de permissão para isso, como bem exemplificou o conselheiro do Comitê Gestor de Internet, Demi Getschko, ao fazer declarações para a imprensa. Por que, então, para usar a Internet, todo esse procedimento seria necessário? Por acaso crimes não são cometidos através de correspondências convencionais ou pelo telefone? Cartas com bombas e com
Antrax (Antraz ou Carbúmculo) provam o contrário, bem como o fazem as extorsões praticadas pelo telefone celular, com seqüestros forjados, por criminosos, de parentes das vítimas. Assim como fazem na Internet, pessoas de bem também se identificam adequadamente e na medida do que seja racionalmente necessário, tanto para comprar telefones como para enviar cartas. Criminosos não fazem nada disso, mas conseguem dispor dos mesmos serviços por meios ilícitos. E assim sempre agirão.

A discussão sobre privacidade na Internet é simplesmente ridícula. Claro que não pelo seu fundamento e nem pelo princípio da liberdade em si, mas pelo que de fato ocorre ou pode ocorrer dentro do sistema. O que eu quero dizer é que a violação de privacidade, entre outros riscos, é um fato na rede, que pode ocorrer em maior ou menor grau, e sobre a qual todos os internautas deveriam estar plenamente cientes. Na Internet, assim como nas ligações telefônicas e em todas as vias modernas de comunicação e de transferência de dados, tudo é rastreável, penetrável e completamente inseguro em termos de garantia de privacidade. Cada um que conte com a sorte, com sua disponibilidade financeira para se proteger de intrusos e com o grau de confiabilidade que possam oferecer os prestadores de todos os tipos e níveis de serviço que envolvam as telecomunicações.

A questão que se discute na aprovação ou não da Lei de Crimes de Informática, no que se refira aos termos de uso por parte dos internautas-cidadãos, trata apenas de que estes venham a conceder, ou não, uma procuração para que os prestadores de serviço na Internet, nos mais diversos
estágios do processo, espionem e/ou controlem seus usuários ou não – o que não quer dizer, de maneira nenhuma, que isso não possa ser feito, com ou sem autorização.

Querem um exemplo? A Brasil Telecom, primeira operadora de telefonia fixa brasileira resultante da privatização do Sistema Telebrás, adquiriu recentemente o
NarusInsight Discover Suíte, da Narus, um software capaz até de remontar conversas no Skype (assim, como se alguém estivesse ouvido o que se fala numa simples extensão telefônica), de violar e-mails, de detectar sites visitados e de tudo o que o ususário enviar, receber e baixar. A Telecom, como não poderia deixar de ser, afirma que o software é usado única e exclusivamente para controle de VoIP, mas, o próprio presidente da Narus, já reconheceu publicamente que não tem como saber para que as empresas que compram o programa o estão utilizando, e se o fazem de maneira correta. Vejam bem, ninguém está cometendo a insanidade de acusar a Telecom de estar usando o software para fins de espionagem, mas sim trazendo aos leitores o conhecimento de que sua privacidade nas telecomunicações é apenas uma questão de confiança, de princípios e não de possibilidades. E, querem saber? Desde os primeiros telefones usados pelos homens sempre foi assim.

Não estão satisfeitos? Querem mais exemplos? Então leiam um artigo, assinado por Pablo de Camargo Cerdeira, que traz o seguinte título: “
Impressoras trazem sistema que permite identificação”. A conclusão a que se chega é a de que a realidade da privacidade da qual pensam desfrutar os internautas beira o ridículo – infelizmente. Ainda bem que existem pessoas e organizações, como ao que se pode ver no citado artigo, que persistam em “dar murros em ponta de faca” para, ao menos, dificultar, naquilo que for possível, a vida dos eternos aspirantes a “big brother”.

Graças a esse tipo de trabalho, temos leis que fazem das diversas formas de invasão de privacidade um crime. Sabemos também que é preciso autorização judicial para que se tenha acesso a dados supostamente particulares da vida de um cidadão, e, mesmo assim, somente dentro do que está expresso na autorização. O problema, entretanto, são as ações criminosas, por exemplo, de escutas telefônicas ilegais, de espionagem, de quebra não judicialmente autorizada de sigilo bancário e de outras tantas. O fato de se impingir aos cidadãos-usuários mais e mais ações “identificatórias” e contratuais não é capaz em si de coibir os crimes – ao contrário, muitas vezes, pode até facilitar a vida de criminosos, que conseguem acessar dados de vítimas em potencial, com cada vez mais precisão, mais agilidade e deixando menos rastros. Ou seja, o cidadão, em exposição excessiva, torna-se um alvo fácil diante de uma “multiprovável” lista de inimigos anônimos, que podem estar por toda parte e onde menos se espera.

Segundo o IPDI (Instituto de Peritos em Tecnologias Digitais e Telecomunicações), 80% dos golpes realizados, “on ou off-line”, no ambiente corporativo privativo ou estatal, por exemplo, contam com colaboração interna de funcionários ou de ex-funcionários. Esta tendência, aliada à popularização do uso da tecnologia, facilita o roubo de informações e a espionagem. Por isso, é extremamente perigoso querer, como está estipulado na Lei de Crimes de Informática, que os provedores, além de armazenar os dados de acesso e os dados cadastrais básicos dos usuários, mantenham também, por cerca de 5 anos, todo o histórico da navegação e muito provavelmente até o conteúdo das mensagens dos usuários.

Nessa brincadeira de “popularizar” a certificação digital, a pretexto de garantir segurança, o povão, e conseqüentemente toda a sociedade (não esquecendo que povão vota), certamente sairia perdendo. Em compensação, todas as entidades envolvidas no processo de concessão de certificados digitais teriam lucros incalculáveis – os mesmos de sempre: órgãos governamentais, Bancos, Financeiras, Seguradoras, empresas de Telefonia, etc. Quem habilita empresas a conceder certificado digital? O governo federal, é claro. Estas empresas habilitadas, por sua vez, têm o poder de habilitar outras tantas que farão o papel de “cartórios digitais”, recebendo documentos e distribuindo os certificados digitais concedidos. Um império de lucratividade sem fim.

Isso sem falar no “seguro contra falsidade ideológica” que certamente os provedores darão um jeito de passar a cobrar dos usuários, além, é claro, da “pequena taxa” que também certamente será cobrada para que o provedor “faça o favor” de armazenar uma infinidade de informações dos usuários – incluindo conteúdos e hábitos de visita -, todas elas exigidas pelo governo, que, inclusive, poderá usá-las contra os próprios usuários, se obtiver autorização legal para isso (ou não – vide Francenildo). É bom lembrar que o mercado fatalmente encolheria em termos de oferta de provedores – um mercado que emprega mais de 10 mil brasileiros. Isto porque cada provedor ou operadora precisaria de equipamentos de storage (armazenamento) caríssimos e de Centrais de Processamento de Dados (CPDs) gigantescos, e não são todos eles que têm condições de arcar com investimentos dessa natureza. Caminharíamos para o monopólio disfarçado.

Segundo dados do Centro de Estudos, Respostas e Tratamentos de Incidentes de Segurança no Brasil (Cert.br), um dos braços do Comitê Gestor da Internet no Brasil, em 2004, foram reportados 75.722 casos de problemas na Internet, sendo que 4.015 deles eram referentes a tentativas de fraudes virtuais, representando prejuízos de cerca de R$ 250 milhões a bancos e administradoras de cartões de crédito. Em 2005, estas tentativas subiram para 27.292, dentro de um total de 68 mil notificações, elevando os prejuízos das instituições financeiras para cerca de R$ 300 milhões. Por outro lado, o comércio eletrônico brasileiro faturou R$ 2,5 bilhões no mesmo período.

Agora, vamos aos números. Quem são os mais prejudicados com os crimes financeiros na Internet? Os Bancos, as operadoras de cartão de crédito e empresas que vendem on-line. Os usuários-clientes costumam ser ressarcidos de qualquer prejuízo financeiro que tenham sofrido. Afinal, milhões deles pagam seguros para que, proporcionalmente, poucos deles não tenham prejuízos com fraudes. Nessa conta, as instituições financeiras ganham mais do que perdem. O problema é que elas não querem perder nada.

Quem lucraria com a emissão de certificados digitais? As Autoridades Certificadoras e de Registro (órgãos governamentais, empresas especializadas em certificação digital, bancos, operadoras de cartão de crédito, seguradoras e afins). Se todos os usuários “optarem” pela certificação digital (imagine-se que 20 milhões deles se dispusessem a fazê-lo), isso representaria uma movimentação financeira de cerca de R$ 2 bilhões, ANUALMENTE. De quanto é mesmo o prejuízo das instituições financeiras? Em 2005, foi de R$ 300 milhões. De quanto foi mesmo o lucro dos Bancos e das maiores empresas do país este ano?

Façam as contas, senhores usuários da Internet: vamos cair em mais uma das muitas armadilhas que armam para extorquir dinheiro da plebe. Vamos pagar para ser controlados (e não que isso já não aconteça, mas é que custa caro e ainda pode ser arriscado – não pelo perigo de punição, é claro, mas, pelos contra-tempos de ter que se afastar de cargos, de ter que ficar dando explicação para repórteres e coisas do gênero).
Vamos pagar também para que as pobres coitadas das instituições financeiras não tenham que gastar seu dinheirinho com o ressarcimento de clientes lesados por ações fraudulentas e nem tampouco com “carézimos” e quase que instantaneamente obsoletos sistemas de segurança. Vamos pagar ainda para obter certificados digitais que, se violados por criminosos, colocarão os prejuízos “embrulhados para presente” bem no nosso colo - além dos riscos penais, é claro.

Seguem duas sugestões para quem gosta de escrever pequenos manuais populares sobre qualquer coisa: 1) Dicas sobre como jogar no lixo duras conquistas democráticas e 2) Como privatizar um país para seus amigos e colaboradores, enquanto fortalece o Estado, fazendo parecer ao povo que ele é nacionalista. Há outros títulos também que aparentam não ter nada a ver com o tema aqui tratado, mas que valem pelas sugestões. “Como vencer mentindo, confessar tudo depois da vitória e manter a conquista” é um deles, por exemplo.

(*) Confira alguns dos crimes que viraram notícia

O PROJETO

O Projeto Substitutivo de Lei agora apresentado à Comissão de Constituição, Justiça e Cidadania (CCJC) do Congresso, na verdade, reúne quatro projetos anteriores que tratam de crimes de informática. O primeiro deles tem sua origem em 1996, quando o então deputado pelo PMDB da Paraíba, Cássio Cunha Lima (atual Governador reeleito da Paraíba, pelo PSDB-PB), apresentou um projeto genérico que tratava, em parte, sobre os crimes na área de informática. Como não houve tempo de ser votado naquela legislatura, o Deputado Luiz Piauhylino (PTB-PE) – que era relator do projeto – apresentou, em 1999, um substitutivo para punir os crimes cibernéticos (PLS 76/2000 - PROJETO DE LEI N. 84-D,DE 1999), que terminou sua trajetória em novembro de 2003, quando foi remetido para o Senado através do Ofício PS-GSE/1031/03. Outros dois são os projetos dos senadores Leomar Quintanilha (PLS 137/2000) e Renan Calheiros (PLC 89/2003). E finalmente, o quarto deles é o Projeto de Lei do Senado 279 DE 2003, do Senador Delcídio Amaral (PT–MS), que tinha como relator o Senador Arthur Virgílio (PSDB) – posição que foi assumida pelo Senador Eduardo Azeredo (PSDB–MG), em março de 2005. Depois de receber emendas do próprio Azeredo, com base nos três projetos já existentes, este último projeto foi analisado e obteve parecer favorável na Comissão de Educação do Congresso, em 6/06/2006, de onde foi encaminhado para a CCJC.

COMO ESCAPAR DO CERCO

1. BROWZAR

Para acessar: www.browsar.com

Apagar pistas eletrônicas é agora uma febre no mundo da comunicação corporativa voltada ao Direito, nos Estados Unidos. Isso porque quem conseguir seguir as pegadas eletrônicas dos sites e bancos de dados visitados por determinados escritórios, vai ter um perfil completo dos advogados. Para aumentar a privacidade, a maioria dos browsers tem opções de apagar o histórico dos sites visitados e eliminar a memória em cache, que acumula arquivos durante uma sessão de navegação. Tais opções têm de ser programadas pelo usuário. O Browzar faz com que rastros ou históricos não fiquem armazenados, não guarda arquivos temporários ou cookies e elimina o dispositivo de "auto-completar", que pode revelar os sites visitados pelo usuário. O Browzar não precisa ser instalado e pode ser baixado pela Internet quando for necessário, o que o torna ideal para redes compartilhadas.

2. TORPARK

Para acessar: www.torrify.com

O Torpark elimina os rastros deixados pelos registros dos locais visitados nos servidores, mesmo com o uso do Browzar, e emprega a tecnologia Tor para permitir que o usuário navegue através de um browsing anônimo, usando rotas em proxy que tornam o IP (protocolo de endereço do usuário) totalmente mascarado - o que torna extremamente difícil seguir os passos dos usuários.

3. VASPORSTREAM

Para acessar: www.vaporstream.com

O Vaporstream simplesmente destrói o e-mail e seu conteúdo tão logo eles sejam abertos e lidos - a mensagem desaparece.

4. E-MAILS ANÔNIMOS

Para acessar: panama-vo.com

Este servidor oculta e/ou forja tanto o IP como o endereço do remetente a cada emissão de e-mail.

CERTIFICAÇÃO DIGITAL

É muito cumum, no nosso dia a dia, termos que validar e/ou comprovar a autenticidade de documentos, com assinatura, com carimbo ou com selo de autenticação. Na Internet, para fazermos a mesma coisa, precisamos de uma assinatura digital para documentos eletrônicos, cujo processo usa um conceito conhecido como função hashing, que analisa todo o documento e com base numa complexa multiplicação matemática gera um valor de tamanho fixo para o arquivo, o valor hash, que é calculado com base nos caracteres do documento. Com isso, qualquer mudança no arquivo original, mesmo que seja de apenas um único bit, fará com que o valor hash seja diferente e com que o documento torne-se inválido. Por isso, uma assinatura digital informa ao destinatário que o e-mail é realmente de quem aparece como remetente e que o conteúdo do mesmo não foi adulterado entre o envio e o recebimento.

Funciona assim: a pessoa que tem uma assinatura digital e prefere se comunicar com seus destinatários através de e-mails digitalmente assinados distribui seu Certificado Digital (e sua chave pública) para quantos endereços quiser. Os aplicativos de e-mail dessas pessoas usarão a chave pública para criptografar ou codificar as mensagens que serão enviadas para o proprietário da assinatura digital. Ao receber as mensagens, a chave privativa pode decriptografar a mensagem. Ou seja, as mensagens não podem ser lidas nem modificadas, se forem interceptadas entre o emissário e o destinatário. Porém, se um espião puder ter acesso direto ao que se está digitando, antes de enviar a mensagem, ou ao que se estiver lendo, depois que a mensagem já tiver sido descriptografada, ele poderá conhecer os conteúdos, embora não possa modificá-los.

Para se obter uma assinatura digital é necessário procurar uma entidade que faça esse serviço: a Autoridade Certificadora (AC). O interessado deve preencher um formulário com seus dados e pagar uma taxa que varia de acordo com o modelo do documento. Depois, ele deve se apresentar a uma Autoridade de Registro (AR), com documentos como Carteira de Identidade ou Passaporte - se for estrangeiro-, CPF, Título de Eleitor, comprovante de residência e número do PIS/PASEP. Pessoas jurídicas devem apresentar registro comercial, no caso de empresa individual, ato constitutivo, estatuto ou contrato social, CNPJ e documentos pessoais da pessoa física responsável.

Atualmente, são mais de 400 ARs no Brasil e a tendência é de que esse número venha a aumentar muito. Correios, Caixa Econômica Federal, SINCOR (Sindicato dos Corretores de Seguros do Estado de São Paulo), Banco do Brasil, Bradesco, Itaú, Itautec são exemplos de AR. Elas é que vão solicitar certificados a uma AC, que vai, então, verificar a identidade do usuário ou da empresa e a autenticidade dos documentos apresentados. Depois disso, se estiver tudo correto, ela vai associar a identidade do interessado a uma chave. Essas informações são, então, inseridas em um documento conhecido como certificado digital. O Certificado digital é, portanto, um pré-requisito para a geração de assinaturas digitais com respaldo na legislação brasileira criada pela MP 2.200/2 de 29 de agosto de 2001.

Os certificados digitais, que contém a chave pública do usuário e os dados necessários para informar sua identidade, podem ser distribuídos na Internet, permitindo a comprovação da autenticidade da mesma, por qualquer pessoa ou instituição, através do acesso ao certificado digital correspondente. Acontece que, como existem inúmeras ACs espalhadas pelo mundo, seria inviável ter a chave pública de cada uma. Por isso, estabeleceu-se, mundialmente, um esquema de Infra-estrutura de Chaves Públicas (ICP, ou, em inglês PKI – Public Key Infrastructure)(**), que é a criação de "ACs-Raiz" das quais se ramificam uma série de outras ACs autorizadas pelas primeiras a emitirem certificados a pessoas e empresas.

No Brasil, O ITI, órgão do Governo Federal ligado à Presidência da República, é a primeira autoridade da cadeia de certificação (AC Raiz), que emite e controla a ICP-Brasil (Infra-Estrutura de Chaves Públicas Brasileira), modelo de Certificação Digital adotado no País. A
ICP-Brasil controla sete ACs: Serpro (Serviço Federal de Processamento de Dados); CertiSign, empresa privada especializada em certificação digital; Serasa; IMESP (Imprensa Oficial do Estado de São Paulo); PRODEMG, empresa de tecnologia de informação do Governo de Minas Gerais; Caixa Econômica Federal e SINCOR (Sindicato dos Corretores de Seguros do Estado de São Paulo). Portanto, aqui, para que tenha valor legal, o certificado digital precisa ser concedido por qualquer uma destas sete ACs, sendo que, cada uma delas tem requisitos e custos diferentes para a emissão.

Os tipos de certificados são A1, A2, A3 e A4. A diferença entre eles é como são gerados e o grau de segurança que proporcionam. Entre os mais usados está o A1, que custa em torno de R$ 100,00 e tem validade de um ano. Ele é gerado e armazenado em software e pode ser gravado em HDs, CDs ou DVDs. Outro modelo também bastante utilizado é o A3, que é gerado e armazenado em hardwares como smartcards, que fica em torno de R$ 300,00, ou tokens (espécie de pen drive com saída USB e leitora embutida), que custa cerca de R$ 400,00. Esta modalidade é mais segura que a A1 e tem validade de três anos.

Todos os bons navegadores modernos já vêm programados para reconhecer a chave pública e demais informações presentes no certificado digital de um site emitido por uma AC reconhecida internacionalmente. Os browsers dos computadores analisam as informações contidas nos certificados e dão o resultado ao usuário. Se um único caractere do certificado for ilegítimo, o browser detecta e avisa.


(**) Na verdade, qualquer instituição, independentemente do seu porte, pode criar uma ICP, se deseje adotar uma política de uso de certificados digitais para a troca de informações entre a matriz e sua filiais, fazendo com que um departamento qualquer criado nestas filiais atue como AC ou AR, solicitando ou emitindo certificados para seus funcionários.

1 comment:

  1. Olá,
    Foi lançado recentemente um PABX capaz de integrar-se ao SKYPE, permitindo que telefones comuns possam fazer chamadas para contatos SKYPE ou para outros telefones através da rede SKYPE. As chamadas podem ser realizadas, atendidas, colocadas em espera, transferidas de forma extamente igual as da rede de telefonia convencional. O custo é muito baixo e se paga rápido, rápido.
    Veja: www.safesoft.com.br/pabx/

    ReplyDelete