You are currently browsing the monthly archive for Novembro, 2006.
Como já disse, o debate de ontem foi excelente. Tive a oportunidade de excercer meus direitos democráticos de uma forma inédita para mim, e que me trouxe grande satisfação.
Mas vamos ao que interessa, os resultados:
- Houve consenso de que o termo vírus utilizado em diversas partes do PL poderia tornar a legislação pouco abrangente, devido a existência de outras pragas virtuais categorizadas de formas distintas, como Worms ou Trojans. A sugestão dos membros do ISSA foi substituir o termo vírus por “código malicíoso”. Porém o Portugal argumentou acertadamente que o termo vírus era mais popular e facilitava o entendimento da lei pela sociedade. O meio termo encontrado para atendermos as estas duas necessidades foi a modificação para o termo “vírus e códigos maliciosos”;
- A mudança da penalização do provedor de acesso, que não cumprir a lei, de processo criminal para cível foi outro ponto discutido e sobre o qual fomos informados que já estava sendo trabalhado. Hoje conversando com uma grande amiga sobre este assunto, ela me questinou se com esta mudança a lei não poderia se tornar inóqua, pois dependendo do peso da punição os provedores poderiam optar por sofrê-las, por serem menos onerosas do que a adequação aos requisitos legais. Acho este um contraponto importante e que deve ser avaliado;
- Também apresentamos a necessidade da legislação de proteger o profissional de SI, que realiza um Teste de Invasão, para verificar a segurança de uma organização, de forma que ao executar este processo ele não infrinja a lei;
- O texto do processo de cadastramento foi, claro, o ponto que tomou mais tempo das discussões. Houve concordância de que seria necessária a melhoria do texto e da remoção de alguns artigos cuja interpretação poderia distorcer o objetivo do projeto.
Outros pontos também foram discutidos, porém creio que os mais importantes estão listados aqui.
Eu havia dito que iria revisar meus comentários anteriores, porém depois de ponderar por algum tempo, vi que seria mais interessante reler todo o texto a luz das explicações oferecidas pelo Portugal, e então escrever uma análise com muito mais conteúdo.
Acabo de chegar do debate do ISSA-Brasil sobre a PLS 76/2000, com a participação do Sr. José Henrique Santos Portugal, assessor do Senador Eduardo Azeredo (PSDB – MG), e do Dr. Rony Vainzof, sócio da Ópice Blum Advogados Associados.
Apesar do baixo quorum, em virtude da chuva creio eu, foi um evento excelente, onde pudemos debater abertamente alguns dos pontos mais importantes deste projeto, inclusive com alguns momentos de debates mais acalorados, mas sempre mantendo a educação e o respeito que se espera dos profissionais envolvidos.
Meus parabéns ao Fernando Fonseca e ao Augusto Paes de Barros, pela organização deste excelente evento. Com ações como esta a associação começa a mostrar para seus membros e o restante da comunidade de SI o importante papel que pode desempenhar para o desenvolvimento da profissão e da sociedade.
O debate mudou algumas das minhas opiniões sobre o projeto, mas para preciso de algum tempo para revê-las todas. Amanhã vou tentar postar uma revisão das minhas opiniões e comentários sobre o projeto.
Após ler a PLS76/2000 gostaria de comentar alguns pontos e sugerir algumas melhorias:
- No artigo segudno, o termo vírus deveria ser substituído por código e/ou software malicioso, para evitar que a sua definição limite as situações que possam ser abrangidas pelos artigos que usam o termo;
- Ainda neste artigo, entras as finalidades listadas eu incluiria o roubo de dados e o uso de recursos dos sistemas computacionais sem a devida autorização. O primeiro busca proteger contra programas que capturem senhas ou outras informações pessoais, o segundo visa aplicativos que criam máquinas zumbis ou outra formas de utilizar os recursos computacionais de um equipamento de forma contrária a vontade de seu proprietário;
- No artigo terceiro, onde está escrito “Se o dado ou informação obtida indevidamente é fornecida pela rede de computadores(…)” para “Se o dado ou informação obtida indevidamente é disponibilizado abertamente ou comercializado pela rede de computadores(…)”. Desta forma creio que o texto fica mais claro quanto as situações que engloba;
- Já no texto proposto para o artigo 154-C, inciso VII do Código Penal, eu incluiria a obrigatoriedade de sincronismo periódico com a infra-estrutura do Observatório Nacional, para assegurar a exatidão dos dados de tempo empregados nos registros realizados;
- Na sugestão para o Artigo 154-D, incluir o termo “utilizar” para as formas não aceitas de uso de dados cadastrais, para evitar que uma empresa colete os dados com uma finalidade e ela mesma os use com finalidade distinta;
- Também mudaria o termo “a estruturação do banco de dados” para “o fornecimento das informações”, para evitar que uma empresa declare que a estruturação do banco de dados teve a intenção de comercialização destes dados;
- Outro ponto importante é a responsabilização das empresas que coletaram estas informações pela sua manutenção e sigilo, de forma que estas organizações adotem as proteções necessárias para evitar que os dados sejam “roubado;
- Como o Anderson comentou na CISSP-BR, também é importante que as empresas sejam obrigadas legalmente a informar todos as pessoas cadastradas em suas bases de dados, caso estas informações venham a ser comprometidas;
- No artigo sétimo, não está claro se “(…)fornecer, espontaneamenteou por qualquer meio, informações que(…)” não está claro se engenharia social está inclusa nas formas empregadas para coletar estas informações. Principalmente devido ao fato de o início do texto ligar o artigo a sistemas informatizados, excluindo ações humanas;
- No artigo oitavo, onde se lê “Falsificação de cartão de crédito ou débito(…)” para “Falsificação de cartão de crédito ou débito ou seus respectivos códigos de indetificação(…)”;
- No final do parágrafo único, eu incluiria “ou outros mescanismos para efetuar transações comerciais ou financeiras”;
As mesmas considerações valem para os demais artigos com textos similares. Além disso, as seguintes considerações valem para os diversos artigos as quais se aplicam:
- Ampliar as penas quando as ações são efetuadas contra o sistema financeiros e as organizações que o constituem ou contra empresas de capital aberto ou com mais de 5000 funcionários. Isso para proteger instituições fundamentais para o desenvolvimento do país. O número 5000 foi escolhido arbritariamente, para incluir as grandes empresas, mas creio que o senador e sua equipe tenha condições de medir melhor qual deve ser este valor ou se este é critério que deve ser empregado na sua escolha. O importante que é mesmo grandes empresas pertencentes a grupos familiares, como a Gerdau ou Casas Bahia sejam protegidas;
- Também deveriam ser ampliadas as penas quando as ações forem executadas com o intuito de ganhos pessoais pelo perpretador, ou entidades as quais ele represente, esteja filiado ou a qual esteja prestando serviços. Nestes casos, estas entidades também devem responder pelas ações, quando comprovado que elas tem culpa por ação ou omissão;
- O comentário anterior deveria ser extendido para ações que envolvam a comercialização das ações maliciosas ou das informações obtidas através delas;
Além destes pontos, devem ser redigidas as referências aos processos de cadastro, identificação e autenticação de forma que definam as seguintes tarefas:
- Cadastramento dos usuários, onde serão exigidos seus dados pessoais, como números de identificação (RG, CPF, etc);
- Atribução de identificador único, onde a pessoa poderá escolher um identificador pessoal, desde que já não usado por outro cliente do provedor, para se identificar na rede. Este identificador deverá ser associado aos dados cadastrais, não poderá ser reutilizado por período inferior a um ano e deverá ser registrado em contrato como sendo pertencente ao cliente como identificador mestre;
- Atribuição de mecanismo de autenticação, onde o usuário fornecerá de forma sigilosa informações necessárias para confirmar sua identidade. A forma como isso ocorrerá deverá ser definida em contrato entre as partes, nos termos na MP 2200-2, de forma a não limitar legalmente o uso de novas tecnologias;
- Requerimento do identificador único e informações de autenticação antes de o usuário poder acessar a rede de computadores;
Também deve constar que nos casos de conexões permanentes (ex.: LPs) o contratante do serviço deverá ser reconhecido como responsável pelo seu uso.
E o texto do artigo vigésimo deve ser alterado de “Todo aquele que acessar uma rede (…) deve identificar-se e cadastrar-se naquele provedor(…)” para algo como “Para acessar uma rede (…) deverá ser fornecido o identificador único e dados de autenticação, cadastrados juntos ao provedor “. Claro que antes devem ser definidos as atividades que listei acima.
Por fim, para aqueles que não leram a PLS, creio que o texto do artigo 154-D, sobre o qual comentei acima, crie o mecanismo legal necessário para proteger estes dados de uso inapropriado, desde que adotadas as mudanças que sugeri.
Não sou advogado, portanto, estas são minhas opiniões enquanto cidadão e profissional de SI.
Um ponto que acho que não deixei muito claro ontem, é que apesar de todos os pontos contras que eu listei, eu acredito que os programas de concientização sejam bastante importantes em uma estratégia sólida de segurança. Mas eles devem fazer parte de um conjunto de medidas que juntas agregam muito mais a segurança, do que qualquer uma delas poderia fazer individualmente. É meu velho mantra: Segurança em Profundidade.
Mas voltando ao assunto, creio que este tipo de iniciativa seja importante, mas devemos buscar formas de fazer isso de uma forma interessante ao usuário e que, como eu já havia dito, leve ao desenvolvimento do senso crítico.
Também precisamos de forma de reavivar as idéias na cabeça das pessoas, mas sem que nos tornemos chatos insistentes.
Também creio que venhamos ter um ganho mais significativo a médio e longo prazo, por dois motivos: Virar senso comum e o aumento de pessoas habituadas a tecnologia.
O primeiro caso ocorrerá, em parte, devido ao nosso continuo trabalho de conscientização e o habito que as pessoas passarão a ter com relação aos procedimentos adequados. O que hoje é algo abstrato, orientado por “especialistas” passará a fazer parte da cultura da nossa sociedade. Isso pode parecer um pouco utópico, mas aí também temos o próximo motivo: pessoas habituadas a tecnologia. O que viria a ser isso? Simples, aqueles que nasceram e estão crescendo no mundo de hoje, estão muito mais habituadas a tecnologia que nossos pais, ou até que nós mesmos. Para eles, a tecnologia com suas armadilhas fazem parte do mundo que sempre conheceram e as muitas prevenções passarão a ser intuitivas.
Claro que novas formas de ataque surgirão, mas aí cabe a nós continuarmos educando as pessoas, ajudando-as a desenvolver seu senso crítico, sua capacidade de julgar os riscos.
Muitos profissionais de segurança tem defendido os programas de conscientização, como se estes fossem o Santo Graal que irá resolver todos os problemas de fraudes na Internet. Minha posição sempre foi de que é um componente importante, porém que sozinho não é suficientemente para resolver os problemas existentes.
A principal razão para esta opinião sempre foi a dificuldade de educar os usuários em um ambiente com constante evolução tecnológica. Como orientá-los se a cada minuto surge uma nova tecnologia, criando vetores de ataque que até então não haviamos imaginado.
O contraponto a este pensamento, que me fazia crer na importância destes programas era a possibilidade de ensinar orientações básicas, que poderiam ser empregadas nas mais diversas situações, tornando os conselhos mais maleáveis e abrangentes. Estes conselhos poderiam incluir dicas como:
- Não abra e-mails outras comunicações com pessoas desconhecidas;
- Aplique sempre as últimas correções dos softwares que você tem instalado em seu micro;
- Atualize diariamente seu anti-virús;
- Não abra arquivos executáveis, principalmente de origens desconhecidas;
Porém, após uma análise mais cuidadosa veremos que, mesmos estes conhelhos básicos, são insuficientes. Softwares podem usar a lista de contatos de um conhecido seu, para enviar uma mensagem como se fosse ele. Esperar que um usuário não técnico mantenha seus softwares atualizados também é devanêio. Se com as atualizações automáticas feitas pelo Windows já é difícil, imagine como a miríade de softwares aplicativos instalados na máquina do usuário, como programas de mensagens instântaneas, compartilhamento de arquivos, reprodutores de MP3, codecs de vídeo, etc. Arquivos executáveis então, é outro caso que o usuário pode ser facilmente ludibriado, basta enviar um arquivo cuja extenção não seja EXE. Mais difícil? Talvez não, existem arquivos MSI, CAB, JAR, etc. E, é claro, que o usuário não vai decorar a infinidade de extensões possíveis, antes de abrir as últimas fotos da revista masculina, que ele recebeu por e-mail.
Se tudo isso já era ruim, estes dados sobre a aprendizagem das pessoas mostra mais um obstáculo a ser superado. Claro que o fato do usuário não gravar direito as dicas de segurança não é novidade, mas o mais preocupante é que, segundo estes dados, ele não guarda informações que lhe foram apenas ditas, o que se dirá de informações “especializadas” sobre um assunto que ele não domina?
Aquele texto que ele foi obrigado a ler (se leu) no processo de integração na empresa, ele já esqueceu. A campanha publicitária na TV? Sobre o que era mesmo? Falava para não por a chave embaixo do tapete, mas o que deve ser feito na Internet?
Pode parecer que eu estou achando que todos os usuários são burros ou ignorantes, mas acho que é justamente o contrário. Creio que todo ser humano é capaz de apreender muitas coisas, porém parte deste processo depende de afinidade e hábito. Para minha prima farmacêutica, muitas coisas de quimica que para mim são exotéricas, para ela são elementares. Da mesma forma, muitas coisas que para nós profissionais de SI (ou mesmo de TI) são simples, para muitos podem parecer complexas ou até mesmo irracionais.
Dada esta crença, creio que o caminho para que os programas de conscientização se tornem verdadeiramente relevantes, seja se apoiar na capacidade humana de raciocinar. Não vamos dar “dicas” como se dissessemos para crianças façam isso, ou não façam aquilo, pois mesmo para elas parece que não funciona. Vamos buscar formas de apresentar os conceitos de segurança de uma forma que leve a formação da idéia pelo próprio usuário, vamos buscar formas de educar, não adestrar, vamos buscar desenvolver o senso crítico, de forma a possibilitar que o usuário seja capaz de se auto-defender.
Estou lendo “Coaching para Performance” (John Whitmore – ISBN 85-7303-617-6), e o autor apresentou os resultados de um estudo feito pela IBM e posteriormente pelos Correios do Reino Unido, que chegou aos seguintes resultados sobre a relação entre forma de apresentação de novos conceitos/informações e o tempo que as pessoas se recordam do que aprenderam:
| Recordavam o conceito/informação depois de: | Forma de apresentação: | ||
| Dito | Dito e mostrado | Dito, mostrado e vivenciado | |
| 3 semanas | 70% | 72% | 85% |
| 3 meses | 10% | 32% | 65% |
Estes dados demonstram dois pontos fundamentais, que devem ser considerados nos planos de conscientização:
- Apenas informar o usuário sobre os cuidados que ele deve ter não é o suficiente, o processo de aprendizagem deve ser interativo, buscando levá-lo a vivênciar os riscos;
- O processo deve incluir formas de reavivar os conceitos periodicamente, pois até os conceitos aprendidos pelos métodos com maiores tempos de retenção acabam sendo esquecidos por uma parcela das pessoas.
Tava folheando a INFO Exame de setembro, quando me deparo com a reportagem de capa listando 50 dicas para tornar o computador mais rápido. Eis que uma das últimas dicas fala sobre como desabilitar o UAC (User Account Control) do Windows Vista, pois o reporter ficou incomodado com as solicitações de senha de administrador para instalar software. 
Achei esta atitude deplorável. Quando finalmente vemos uma ação que pode ajudar a reduzir a exposição do usuário final às ameaças da internet, a maior revista de informática do Brasil dá uma orientação estapafúrdia como esta.
Quando a INFO fizer a próxima reportagem de os piores do ano, ela mesma vai ter de entrar na lista pelo conteúdo desta matéria.
Uma vez mais a imprensa demonstrou que não está preparada para lidar com responsabilidade sobre temas relacionados a segurança. Quando teremos verdadeiros profissionais colaborando para a divulgação de informações relevantes e integras sobre segurança da informação?
Transcrevo aqui, e-mail que acabo de enviar ao Senador Eduardo Azeredo, dispondo-me a oferecer assessoria ao projeto de lei 76 de 2000, do Senado Federal:
Prezado Senador,
Como profissional de segurança da informação e cidadão, anseio pela publicação de legislação que possibilite o efetivo combate aos crimes práticados por meios eletrônicos, como fraudes financeiras, pedofilia e outros.
Gostaria de oferecer meu apoio no intuito auxiliar na confecção de uma legislação que possibilite a implementação de controles adequados, sem que sejam feridos principios constitucionais e universais, como o direito a privacidade e a liberdade de expressão. Espero que com minha experiência profissional possa ajudá-lo nesta nobre empreitada.
Aproveito a oportunidade para aconselha-lo a buscar orientação também dos membros do capítulo brasileiro do ISSA (Information Systems Security Association), do qual fazem parte alguns dos mais brilhantes profissionais de segurança da informação do Brasil, bem como do ISACA, cujos membros também possuem larga experiência neste assunto.
Atenciosamente,
Rafael Hashimoto
