Lei Carolina Dieckmann e a instalacao de vulnerabilidades

Lei de Carolina Dieckmann e a invasão com o objetivo de instalação de vulnerabilidades 12-­‐05-­‐2013 Vulnerabilidade pode ser conceituada como a incapacidade de suportar os efeitos de um ambiente hostil. Dentre os tipos de vulnerabilidade, podemos citar a social, relacionada a incapacidade de indivíduos e organizações de resistirem a impactos adversos de fontes estressoras e de choque. ISO 27005, IETF RFC 2828, NIST, ENISA, The Open Group, FAIR e ISACA são algumas normas e instituições que definem a vulnerabilidade. Todas as definições no mundo remetem a idéia da fraqueza de um ativo que pode ser explorada por uma ou mais ameaças. Um estado vulnerável é um estado autorizado, a partir do qual um estado não autorizado pode ser alcançado usando transições de estados autorizados. Logicamente, por definição, um ataque ou uma invasão começa necessariamente em um estado vulnerável. Quem invade, via de regra invade algo vulnerável ou graças a uma vulnerabilidade relacionada ao objeto, e não é comum que invada algo vulnerável para “instalar uma vulnerabilidade”. Pois bem, aí vem a Lei Brasileira 12.737/2012, que tipifica os crimes informáticos (Lei Carolina Dieckmann) e assim define o tipo de invasão de dispositivo informático: Art. 154-­‐A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: Pena -­‐ detenção, de 3 (três) meses a 1 (um) ano, e multa. Ora, se alguém invade um dispositivo informático mediante violação indevida de mecanismo de segurança, de fato está explorando alguma vulnerabilidade relativa ao dispositivo, que tinha uma fraqueza direta ou em relação aos responsáveis pelo ativo. Deste modo, explorando a vulnerabilidade, obtém acesso indevido ao sistema. Estando no sistema, o agente pode obter, adulterar ou destruir dados e informações ou mesmo instalar códigos para prejudicar ou lesar a vitima. Não faz sentido e não é usual que um atacante invada, explorando necessariamente uma vulnerabilidade, com o objetivo de instalar uma vulnerabilidade! A vulnerabilidade é ativada por uma ameaça, a vulnerabilidade é explorada e pode atentar contra a integridade, confidencialidade e disponibilidade da informação. Como é possível constatar, a vulnerabilidade é uma fraqueza em um sistema. Não se espera de um atacante, que acaba de invadir um sistema, que “instale uma vulnerabilidade”. No máximo a vitima, pode instalar um sistema vulnerável, que poderá ser explorado pelo atacante. Falar em instalar vulnerabilidade, como 1 objetivo da invasão, para um cracker, seria o mesmo que dizer ao atacante para criar uma nova porta em uma casa na qual ele já entrou, ou o mesmo que punir um ladrão de veículos que ao arrombar a porta do carro, o faz sem o objetivo de levar o bem, mas simplesmente de abrir todas as demais portas do veículo, indo embora. A situação da redação é grave pois estamos lidando com a liberdade de indivíduos, com o direito penal e seu principio da legalidade. Neste cenário, o agente que invade um sistema informático, sem objetivo de obter, adulterar nem destruir informações, mas simplesmente de instalar aplicação ou código malicioso para capturar dados bancários da vitima, como se verifica, não invadiu com escopo de “instalar vulnerabilidade”, mas “explorou vulnerabilidade” instalando código malicioso, logo, não poderá ser punido pela novíssima lei 12.737/2012! Este é resultado de legislar por casuísmos. Uma Lei que já nasce com certa carga de ineficácia. José Antônio Milagre é Perito e Advogado especializado em Tecnologia da Informação Twitter: http://www.twitter.com/periciadigital E-­‐mail [email protected] Site: www.legaltech.com.br Face: http://www.facebook.com/josemilagre 2