ocê reclama muito na internet? Não confunda liberdade de expressão com ofensa!

As redes sociais e os sites especializados em reclamações tem se tornado uma oportunidade para o desabafo de muitos consumidores insatisfeitos com produtos ou prestação e serviços. Já se torna cada vez mais comum quando se realizam buscas na internet sobre grandes empresas encontrar logo na primeira página inúmeras reclamações, mesmo que já tenham sido resolvidas.
Isso tem se tornado um meio pelo qual outros consumidores recorrem ao buscar opiniões antes de adquirirem algum produto ou serviço.
A facilidade com que um consumidor insatisfeito pode se expressar na internet tem preocupado muitas empresas, fazendo com que a sua marca na internet como forma de medir os índices de satisfação de seus clientes.

Essa mesma facilidade proporciona ao consumidor a possibilidade de expor a sua insatisfação de tal forma, que em alguns casos ultrapassam a linha da reclamação/ofensa.
Já existem muitas ações judiciais de empresas que se sentiram ofendidas com as reclamações exageradas de cliente, como no caso de um aluno de uma escola, que após registrar a sua insatisfação de forma ofensiva em um site de reclamações, foi condenado pelo Tribunal de Justiça do Distrito Federal e Territórios ao pagamento de R$ 9 mil de indenização para a escola.

Tome cuidado pois ao exagerar nas palavras isso poderá também prejudicar a sua imagem.

Você reclama muito na internet? Não confunda liberdade de expressão com ofensa!

As redes sociais e os sites especializados em reclamações tem se tornado uma oportunidade para o desabafo de muitos consumidores insatisfeitos com produtos ou prestação e serviços. Já se torna cada vez mais comum quando se realizam buscas na internet sobre grandes empresas encontrar logo na primeira página inúmeras reclamações, mesmo que já tenham sido resolvidas.
Isso tem se tornado um meio pelo qual outros consumidores recorrem ao buscar opiniões antes de adquirirem algum produto ou serviço.
A facilidade com que um consumidor insatisfeito pode se expressar na internet tem preocupado muitas empresas, fazendo com que a sua marca na internet como forma de medir os índices de satisfação de seus clientes.

Essa mesma facilidade proporciona ao consumidor a possibilidade de expor a sua insatisfação de tal forma, que em alguns casos ultrapassam a linha da reclamação/ofensa.
Já existem muitas ações judiciais de empresas que se sentiram ofendidas com as reclamações exageradas de cliente, como no caso de um aluno de uma escola, que após registrar a sua insatisfação de forma ofensiva em um site de reclamações, foi condenado pelo Tribunal de Justiça do Distrito Federal e Territórios ao pagamento de R$ 9 mil de indenização para a escola.

Tome cuidado pois ao exagerar nas palavras isso poderá também prejudicar a sua imagem.

A lei nº 12.737, apelidada de Lei Carolina Dieckmann, se originou do Projeto de Lei nº 2.793/2011. Em comparação com outras intenções legislativas relacionados aos crimes cibernéticos, teve um desenvolvimento e aprovação mais rápida, quanto tomamos por exemplo o Projeto de Lei nº 84/1999, também conhecido como “Lei Azeredo” ou então o Projeto de Lei nº 2126/2001, que se originou da iniciativa legislativa de consulta pública, com o título de Marco Civil da Internet.
Inicialmente, cabe a observação de que a atriz Carolina Dieckmann, que emprestou sem nome à lei, pode não ter sofrido do crime criado na própria lei. A ocorrência pode ser enquadrada com os crimes de extorsão e difamação. Outra questão que desvincula a aprovação da lei com o acontecimento é o fato de que o projeto de lei foi apresentado em 2011 enquanto que a atriz se tornou vítima somente no ano seguinte.
A nova lei adicionou 4 artigos ao Código Penal, sejam eles:

Invasão de dispositivo informático

Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:

Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.

§ 1o Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.
§ 2o Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico.
§ 3o Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:

Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave.

§ 4o Na hipótese do § 3o, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos.

§ 5o Aumenta-se a pena de um terço à metade se o crime for praticado contra:

I – Presidente da República, governadores e prefeitos;
II – Presidente do Supremo Tribunal Federal;
III – Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou
IV – dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.”

Ação penal

Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede mediante representação, salvo se o crime é cometido contra a administração pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios ou contra empresas concessionárias de serviços públicos.”
Art. 3o Os arts. 266 e 298 do Decreto-Lei no 2.848, de 7 de dezembro de 1940 – Código Penal, passam a vigorar com a seguinte redação:

“Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública

Art. 266.

§ 1º Incorre na mesma pena quem interrompe serviço telemático ou de informação de utilidade pública, ou impede ou dificulta-lhe o restabelecimento.

§ 2o Aplicam-se as penas em dobro se o crime é cometido por ocasião de calamidade pública.” (NR)
“Falsificação de documento particular

Art. 298.

Falsificação de cartão

Parágrafo único. Para fins do disposto no caput, equipara-se a documento particular o cartão de crédito ou débito.” (NR)

Observamos que a relação com a tecnologia e seus diferentes meios de uso se torna explícita no texto legislativo. Isso pode fazer com que diferentes interpretações sejam utilizadas na sua efetiva aplicação.
Os termos técnicos utilizados na Lei proporcionam dúvidas, pois podem ser abordados e interpretados de diferentes formas que podem vir a prejudicar ou então beneficiar os acusados dessas práticas.
Termos como “dispositivo informático alheio” ou então “Mecanismo de Segurança” podem receber inúmeras definições e diferentes entendimentos.
A Jurisprudência e a prática jurídica ainda não tiveram um tempo hábil para ajustar os seus conceitos, de forma que muitas dúvidas e respostas ainda serão levantadas e dirimidas.
As novas relações e os novos tipos de crimes urgem o aparo legal para a proteção dos direitos dos usuários das novas tecnologias, mesmo daqueles que a utilizam de informa indireta no seu dia a dia.
A legislação penal pátria já defendia os direitos das vítimas dos “velhos crimes” que eram cometidos por novos meios, porém a Lei nº 12.737 aborda novos tipos penais, que demonstram que como operadores do Direito temos a necessidade de atualizar os nossos conhecimentos.
Estamos longe de uma situação ideal da proteção de nossos direitos no ciberespaço, porém é possível reprimir, salvo algumas dificuldades pontuais, o uso incorreto das novas tecnologias. Deve então o operador do direito, buscar esses novos conhecimentos, independente de qual seja sua área de especialização, de forma a fazer parte das novas interações de nossa sociedade.

Como se não bastassem a enorme quantidade de ameaças aos usuários, existe um tipo de vírus mais elaborado que após ser instalado no computador criptografa os arquivos, muitas vezes excluindo os arquivos originais.

Esta ameaça geralmente se instala depois que o usuário abre e-mails de phishing ou acessam sites maliciosos.
Após os usuários descobrirem que os dados foram criptografados, encontram uma mensagem com um endereço de e-mail informando que para conseguir a senha de acesso e abrir os arquivos será necessário pagar um resgate.

Apesar de não ser uma nova ameaça, esse tipo de ataque vem aumento nos últimos meses, e demonstra que a grande maioria dos computadores ainda permanece vulnerável. Também conhecido como “ransonware” – palavra inglesa para resgate em um sequestro – cria bloqueios em computadores, e depois exigem um pagamento para que os dados sejam liberados.

Ao entrar em contato com o criminoso por e-mail, você não tem nenhuma garantia de que mesmo realizando o pagamento irá receber a senha para acessar os arquivos. Em alguns casos, os criminosos nem mesmo responderam o contato das vítimas.
Esse é um caso extremamente delicado, e sem sombra de dúvidas irá causar muitos transtornos.

Tentar fazer uma recuperação dos arquivos apagados pode ajudar, mas nem sempre terá 100% de sucesso.

Soluções jurídicas se tornam inviáveis, pois além da dificuldade de identificar o criminoso, você ainda precisará tratar de ações judiciais internacionais, desprendendo de muito tempo e dinheiro.
Segundo uma pesquisa realizada entre vítimas desse tio de ataque, cerca de 3% das vítimas acabam pagando os valores exigidos.
Segue o alerta para fazer uma análise de vulnerabilidade de seus computadores, pois em casos como esse o resultados podem ser desastrosos.

Algumas dicas para evitar ataques como esses:

– Não utilizar softwares de sistemas operacionais piratas ou não atualizá-los
– Manter sempre o firewall ativado
– Atualizar sempre o antivírus. Essa dica com certeza é antiga, mas por incrível que pareça é uma das mais negligenciadas.
– Utilize o seu antivírus e faça constantes varreduras em busca de arquivos maliciosos
– No servidor corporativo, evite deixar portas abertas, e quando necessário utilize um sistema de controle da porta, permitindo que seja acessada somente por quem tem permissão.
– Fazer back up sempre! Utilize softwares que façam isso automaticamente para você.

Li um artigo dias atrás falando sobre a importância do acesso à internet como fator de integração social. Concordo. Porém não consegui terminar de ler todo o texto. O autor falava que um dos meios de colaborar com o acesso à internet por outras pessoas era liberar a rede wifi, seja da sua casa ou empresa, para que outras pessoas pudessem utilizá-la livremente. Senti como se uma faca entrasse no meu peito.

Algumas semanas atrás, no meio do agito das manifestações que foram realizadas em todo o país, surgiu a mesma ideia. Para que os manifestantes pudessem ter rápido acesso às redes sociais, algumas pessoas eram convidadas a retirar as senhas de acesso à rede sem fio.

Imagino que a maioria dos usuários de notebooks, tablets e smartphones já utilizaram ou ao menos se sentiram tentados em se conectar à internet utilizando uma rede sem fio (Wi-Fi) aberta.

É indiscutível essa facilidade ao acesso, é uma grande vantagem e pode ser de extrema utilidade para a mobilidade das comunicações.

Porém, tanto para o usuário que se conecta em uma rede sem fio que desconheça a sua procedência, assim como para aquele que a disponibiliza sem as devidas proteções , isso pode se tornar uma ferramenta extremamente perigosa.

PARA OS USUÁRIOS DE REDE SEM FIO:

Uma informação muito importante que todo usuário deve ter ciência é que ao utilizar uma rede sem fio (nesse caso mesmo ela sendo protegida por senha) as informações de acesso além de algumas informações de conexões (como por exemplo, e-mails), além de todas as páginas acessadas podem ser capturadas por quem esteja distribuindo o sinal.

Assim deve-se tomar muito cuidado ao utilizar uma rede sem fio desconhecida, evitando acessar contas pessoais de e-mails, bancos, etc.

Como se proteger?

A coluna já explicou como navegar com segurança em redes sem fio: Caso necessite usar uma dessas redes é importante que você utilize aplicativos que irão lhe ajudar na segurança de sua conexão, como a VPN (Virtual Private Network). Isso vale também para as redes com senha. É válido se proteger do mesmo modo.

PARA QUEM DISPONIBILIZA UMA REDE SEM FIO ABERTA:

Caso alguém utilize a conexão para cometer um ato ilícito, como por exemplo, enviar arquivos de pornografia infantil, e a rede estiver aberta para uso sem segurança com senha, o responsável poderá ser penalizado ele não terá a capacidade de indicar o verdadeiro responsável pelos acessos indevidos.

Para uma empresa que possui uma rede sem fio aberta para comodidade dos funcionários e clientes deve lembrar que usuários externos poderão também ter acesso.

Caso o seu computador ou rede de sua empresa esteja ainda mal configurada ela poderá ser acessada, tendo o usuário de má fé acesso a arquivos e informações particulares.
Em casa a dica é exatamente a mesma.

Como se proteger?

– A principal orientação é disponibilizar uma rede sem fio sem configurar uma senha de acesso, tanto em casa, quanto nas empresas.
– Ao criar uma senha, evite usar combinações óbvias.
– Altere a senha com frequência.

Para reforçar:

1 – Acesse uma rede sem fio desconhecida (mesmo que tenha senha) somente em casos de necessidade. Se precisar usar a dica é usar uma VPN.
2- Se você tiver uma rede sem fio em casa ou na empresa não vejo motivos suficientes para deixa-la desprotegida. Mesmo que seja mais cômodo, é extremamente perigoso.

Estamos todos acompanhando o “escândalo” internacional, sobre as denúncias de que governo americano mantém uma extensiva rede de espionagem cibernética, tanto nos Estados Unidos, assim como em outros países, coletando informações não só de seus nacionais, mas também de estrangeiros.
Essas notícias não deveriam causar tão grande surpresa, pois isso já se demonstrava ocorrer a muitos anos.
Em diversos depoimentos oficiais do governo, já admitiam que realizavam o monitoramento de ligações telefônicas e trocas de dados de mensagens na internet.
O que acontece agora, é que com a exposição dos documentos sigilosos da Agência Segurança Nacional dos EUA (NSA) tudo se torna mais explícito e exposto.
Assim como quando o Wikileaks revelou documentos secretos de vários governos, naquele momento já se demonstrava que o governo americano ainda mantinha uma grande atividade de espionagem, inclusive no Brasil.
Engana-se quem pensa que com o fim da Guerra Fria, as atividades de espionagem acabaram. A principal diferença, porém é que ela se tornou mais técnica do que pessoal, pois com o constante avanço da tecnologia cada vez mais a troca de informações se realiza pela internet. Desse modo, o número de informações trafegando entre governos e as demais pessoas aumentaram de forma exponencial.

Porque essa notícia não deveria ser uma surpresa?

• A maioria das informações circula pela internet. Praticamente toda a comunicação atualmente é realizada através do envio de dados, mesmo as ligações telefônicas. Além do mais o número de informações transitando na rede chega a ser imensurável.

• As atividades de espionagem nunca deixaram de existir. Somente os métodos e tecnologias empregadas mudaram.

• Com a devida colaboração (ou não) é possível interceptar uma grande quantidade de dados. Muitos desses dados transitam pelos Estados Unidos, ficando assim mais fácil de interceptar.

• A Guerra Cibernética já é uma realidade. Muitas batalhas já foram travadas no ciberespaço, que hoje é considerado o quinto campo de combate, além da terra, mar, ar e espaço.

Se vasculharmos por notícias mais antigas, teremos muitos casos em que o governo americano já havia sido acusado de espionagem cibernética.
Acredito que mais do que um momento para um pânico diplomático, a conscientização sobre o uso correto e seguro da internet, pelos usuários é mais importante ainda. Estamos expondo a nossa privacidade de tal forma que perdemos o controle sobre essas informações. Obviamente nenhum de nós quer ter o direito à privacidade atingido, mas devemos atentar que muitas vezes não precisamos de alta tecnologia para nos espionar, pois nós mesmos divulgamos as informações abertamente.

Mesmo não sendo uma surpresa também não diz que não devemos lutar pelo direito à privacidade, seja no mundo virtual ou no convencional. Devem assim os governos internacionais buscar proteger a sua soberania com o propósito de que isso seja evitado. Acredito que dificilmente isso deixará de existir, pois tecnicamente pode ser inviável. De qualquer modo, o Brasil tem a capacidade de lutar por esses direitos e buscar proteger a soberania nacional.

http://www.depijama.com/governanca/governo-americano-pode-ler-seus-documentos-oficialmente/
http://amaivos.uol.com.br/amaivos09/noticia/noticia.asp?cod_noticia=7544&cod_canal=48
http://pt.wikipedia.org/wiki/Echelon
http://www.conjur.com.br/2012-ago-08/governo-eua-escutas-autorizacao-judicial-tribunal
http://super.abril.com.br/tecnologia/sorria-voce-esta-sendo-filmado-442143.shtml
http://boingboing.net/2008/03/26/companies-that-use-g.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+boingboing%2FiBag+%28Boing+Boing%29

A mídia jornalística de todo o mundo anunciou nessa última quarta-feira que o “maior ataque cibernético da história” havia acontecido, realizando assim grandes impactos nas conexões de internet de todo o mundo.

Segundo os noticiários, esse “maior ataque cibernético da história” teria causado uma lentidão na internet em muitas conexões, principalmente na Europa.

Dado o acontecimento, muitos prontamente se apresentaram como prejudicados por esse ataque, indicando que a internet havia ficado mais lenta, ou que e-mails não estavam sendo enviados corretamente, e por aí vai.

De fato, ataques e batalhas cibernéticas existem, e são mais frequentes do que qualquer mídia irá noticiar. São atos silenciosos, e que podem sim causar grande transtorno aos usuários, prejudicar dados em servidores e causar inclusive impacto financeiro.

Essa “batalha”, em resumo se deu entre duas empresas europeias, a Spamhaus uma combate o SPAM (mensagens não autorizadas enviadas aos e-mails, com propósitos comerciais, por exemplo) e uma segunda empresa, a Cyberbunker que comercializa justamente esse tipo de serviço, enviando todo tipo de mensagens para endereços eletrônicos de todo o mundo (exceto mensagens de pornografia infantil e de terrorismo, segundo a empresa.

Em força, o ataque pode ter sido considerado um dos maiores então conhecidos, mas seus impactos e resultados foram limitados. Os serviços da própria vítima dos ataques, que são baseados na internet estão on-line.

Porém definir esse ato agora ocorrido como o maior de todos é muito delicado, sem considerar várias outras ocorrências, que causaram enormes impactos militares, políticos e financeiros.

Alguns exemplos, demonstrar o que ao meu ponto de vista foram muito mais graves e tiveram resultados muito maiores.

Stuxnet – Aplicatico malicioso, cujo desenvolvimento acredita-se que tenha levado anos, e é atribuído aos Estados Unidos e Israel. Destruiu centrífugas em usinas nucleares iranianas, causando um atraso de mais de 5 anos no desenvolvimento nuclear do país.

Flame – Outro aplicativo malicioso, que foi descoberto em 2012 que afetava computadores que utilizavam o sistema operacional Windows. O programa era utilizado para espionagem cibernética em inúmeros países.

Operação Payback – Um ataque de retaliação a empresas de pagamentos digitais e bancos em todo o mundo foi realizado em 2010. Esses atos causaram prejuízos financeiros significativos ás entidades, causando inclusive uma baixa dos valores das ações dessas instituições nas bolsas de valores.

Bancos Brasileiros – No início de 2012, vários ataques foram realizados contra bancos nacionais. Pode-se dizer que através de uma ação coordenada, os ataques eram pré determinados e programados. Prejuízos financeiros além de transtornos aos clientes de internet banking foram resultados desses atos.

Os ataques e batalhas cibernéticas predizem uma guerra também cibernética, que acredita-se que ainda não existiu.
Esse tipo de força foi amplamente utilizando pelo exército russo, como por exemplo na batalha contra a Estônia em 2007, procedido por ataques militares físicos.

Mas fica o alerta de que em tecnologia nada é 100% seguro. Não é só o antivírus que irá lhe proteger, e a educação digital, ou seja, a utilização consciente dos equipamentos e serviços digitais se torna cada vez mais um dos fatores mais importantes para a segurança individual de seus usuários.

Nessa semana foi aprovado pela Câmara dos Deputados em Brasília dois projetos de Lei,o PL que preveem a criminalização de condutas hoje não abordadas no Código Penal Nacional. Os projetos ainda precisam passar pela sanção da Presidente da República.

Hoje a maioria dos crimes cometidos no ciberespaço já pode ser previstos em nossa legislação, pois os crimes continuam os mesmos, só muda o meio pelo qual foram realizados, tais como os crimes contra a honra (calúnia, difamação e injúria), concorrência desleal, estelionato, pornografia infantil.

Nessas propostas, novas ações que atualmente não são previstas seriam tipificadas como crime, como por exemplo, a criação e disseminação de vírus de computador, acessar informações particulares sem autorização e até mesmo os ataques virtuais a sistemas de informáticos, como os web sites.

Sem sombra de dúvidas, uma maior atenção aos delitos cibernéticos é necessária, porém isso não resolverá o problema como um todo, aumentado principalmente o número de crimes e de criminosos.
Vejo a educação digital como uma das únicas soluções para que no futuro isso não se torne um problema sem solução, incluindo crianças e famílias em projetos de conscientização, não somente através de iniciativas privadas, mas com participação direta do governo.

Fernando Peres. Advogado especialista em Direito Digital e Crimes Cibernéticos, é Vice-presidente do IBPCC (Instituto Brasileiro de Pesquisas de Crimes Cibernéticos).

fernando@peres.adv.br | 41 9938-169

As guerras e ataques cibernéticos há muito tempo deixaram de ser somente ficção. Exércitos em todo o mundo já reconhecem o poder que a internet é uma extraordinária ferramenta de guerra, defesa e espionagem.

Novos criminosos migram para o ciberespaço criando novos métodos e ferramentas de ataque e invasão desistemas computacionais corporativos e domésticos.
Ainda não existem pesquisas unificadas sobre os números dos crimes cibernéticos no Brasil e no mundo, mas existem dados que revelam, por exemplo, que existe um maior prejuízo financeiro por furtos e fraudes na internet do que assaltos à mão armada.

A maioria dos crimes na internetsão velhos, porém realizados em novos meios.Por exemplo, o crimes de estelionato (Art. 171 do Código Penal) continua ser o mesmo crimes, independente se praticado no mundo físico ou no virtual.

Existem, porém outros tipos de delitos, que ainda não são totalmente compreendidos como ações prejudiciais, por juízes e advogados, como por exemplo, a invasão de sistemas informáticos, a criação de vírus, defacement (“pichação”) de sites, etc.
Existem projetos de lei que buscam penalizar esses atos, criando punições para aqueles que utilizando da internet para a realização desses atos.

Proteção e Segurança de Sistemas Computacionais

Certa vez um empresário, ao abrir o web site de sua empresa, no início do dia, encontrou a seguinte mensagem em inglês: “Nós invadimos o seu site. Não se preocupe com o seus dados. Eles estão á salvos…conosco!”

Os programadores e desenvolvedores de softwares e web sites para a internet devem buscar garantir a segurança dos sistemas para que ele não esteja vulnerável a ataques de usuários de má fé.
Ainda hoje é possível encontrar vulnerabilidades em web sites e banco de dados na web através de uma simples pesquisa em sites de busca.

Além disso, é possível diariamente encontrar inúmeros sites que foram invadidos ou alterados por criminosos. O portal www.zone-h.org é um repositório de links que foram alterados em todo o mundo. É possível encontrar inúmeros registros diários de site com domínios.br, .gov.br, etc.

Checklist para a prevenção:

– Se você desenvolveu a programação ou estrutura completa do site faça uma revisão geral buscando por possíveis falhas. Existem ferramentas gratuitas que fazem uma análise do site buscando por possíveis vulnerabilidades
– Se o seu sistema é baseado em um código open source busque constantemente atualizá-lo. Quão maior é o número de pessoas que conhecem o código fonte maior é o número de pessoas que conhecem as suas vulnerabilidades
– Não utilize plug-ins e módulos desconhecidos. Eles podem ter sido criados por pessoas de má fé com o objetivo de deixar o sistema vulnerável a ataques.
– Faça um Back up constante de todo o site, principalmente do banco de dados.

Considerações Jurídicas

1 – Responsabilidade do administrador e do desenvolvedor

O Código Civil Brasileiro imputa responsabilidade a aqueles que por seu dever ou compromisso deveriam proteger bens sejam eles materiais ou intangíveis, expondo do seguinte modo, em seu artigo nº 186:

“Art. 186. Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito.”

Aquele que por negligência prejudicar a terceiro, pode assim ser obrigado a reparar o dano, conforme o artigo nº 927 também do Código Civil pátrio:

“Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo.”

Desse modo, o desenvolvedor de um sistema para a internet pode ser responsabilidade caso não tome as medidas necessárias para a proteção de um sistema. Isso pode acontecer seja no funcionário responsável pela administração do sistema seja no prestador de serviços contratado para a criação do produto.

No Código de Defesa do Consumidor, o fornecedor dos serviços é responsabilizado do seguinte modo:

Art. 14. O fornecedor de serviços responde independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos. [grifo nosso]

2 – Punição dos criminosos
O ciberespaço é considerado pelos exércitos uma quinta área de batalha, além da terra, mar, ar e espaço. Uma de suas principais características é a perda dos limites e fronteiras físicas. Ou seja, um ato praticando em um país poderá ser considerado igual a outro praticado em outra nação a milhares de quilômetros. Porém na esfera jurídica isso pode determinar a capacidade de punibilidade do estado brasileiro.

Segundo as leis nacionais, o judiciário brasileiro poderá julgar um ato praticado dentro do país, ou então, mesmo que praticado fora, porém contra um brasileiro. Mas isso não quer dizer que será capaz de fazer isso na prática. Os cibercriminosos podem utilizar de técnicas manterem-se anônimos, burlando as informações de seu IP por exemplo. Isso produz uma enorme dificuldade na identificação do criminoso.

Mesmo identificando a real origem de um acesso delituoso, os tramites judiciais internacionais podem inviabilizar uma rápida intervenção no caso.

Mesmo com os novos projetos de lei que buscam tipificar esses atos como crimes, não vejo que o problema dos crimes cibernéticos irão mudar. Pelo contrário. Nesse mês o projeto do governo do Plano Nacional da Banda Larga recebeu nova publicidade. O número de usuários de internet no Brasil é cada vez maior, e o governo quer massificar os acessos até o ano de 2014. O acesso á internet se torna cada vez mais barato, fácil e móvel.

Apesar disso tudo, poucas são as iniciativas de educação e conscientização digital, cabendo então, a todos aqueles que produzem conteúdo na rede a parcela de responsabilidade para a construção de uma internet mais segura.

Este tipo de ataque explora falhas de segurança na politica SOP (same origin policy). SOP é o conceito de segurança mais importante dos browsers modernos. Esta política diz que, páginas web de diferentes origens, por padrão, não podem comunicar-se entre si.
XSHM é baseado no fato de que os objetos de browser no client-side não são segmentados em uma base por site. Manipulando o histórico do browser, pode fazer com que o SOP seja comprometido, permitindo que CSRF’s bi-direcionais aconteçam, ocasionando diversos riscos como:
– violação da privacidade de usuários;
– login status detection;
– mapeamento de recursos, entre outros

Informações Inferência

É possível a inferência de informações sigilosas de uma página em uma origem diferente, se implementar num redirecionamento condicional. Suponha que em um aplicativo de RH que não seja publicamente acessível, onde o usuário pode pesquisar empregados por nome, salário e outros critérios. Se a pesquisa não tem nenhum resultado, um comando de redirecionamento é executado com um “Not Found” página. Ao apresentar a seguinte URL:

http://Intranet/SearchEmployee.aspx?name=Jon&SalaryFrom=3000&SalaryTo=3500

e observando o redirecionamento NotFound, os atacantes podem inferir informações sensíveis sobre o salário de um trabalhador.
Isso pode ser feito usando o vetor de ataque que se segue:

1. Criar um IFRAME com src = “NotFound.aspx”
2. Lembre-se o valor atual da history.length
3. Alterar src do IFRAME para “SearchEmployee.aspx? Name = Jon& SalaryFrom = 3000 = 3500 & SalaryTo”
4. Se o valor da history.length permanece o mesmo, então sua pesquisa não tem resultados

Ao repetir o ataque acima e tentar diferentes valores de salário, um atacante pode reunir informações detalhadas de qualquer funcionário. Este é um vazamento de informação muito séria Cross-Site. Se um aplicativo tem uma função como uma página de pesquisa com redirecionamento condicional, então esta aplicação é vulnerável a XSHM e, essencialmente, é semelhante a uma exposição direta à Universal XSS – a aplicação em si é XSS-safe, mas executá-la a partir de um site diferente dentro de um IFRAME, torna vulnerável.
Exemplo – Condition Leakage
Condition leakage ocorre quando um atacante pode injetar valores sensíveis de um determinado conditional statement na aplicação atacada. Por exemplo, se um site utiliza a seguinte lógica:
Página A: se (condição) – Redireciona (página B)
Um atacante pode executar um Cross-site Request Fogery (já falado em outros artigos) e conseguir uma indicação sobre o valor da condição existente como feedback. Este ataque é executado a partir de um site atacante. O site então envia um Cross-site Request para o site vítima, e manipulando o History Object, obtem um feedback sobre a informação requerida que o site vitima irá expor.
Vetor de Ataque
1. Criar um IFRAME com src=Pagina B
2. Salve o valor atual do history.lenght
3. Modifique o src do IFRAME para página A
4. Se o valor do history.lenght for o mesmo, isso quer dizer que a condição é verdadeira.

Protegendo a aplicação
Para conseguir uma proteção eficiente contra XSHM, ambas as URLs do site de origem e a que será redirecionada, devem conter um token randomico. Por exemplo, redirecionando para uma pagina de Login, será seguro apenas no seguinte caso:

If ( !isAuthenticated)
Redirect(„Login.aspx?r=? + Random())

Para previnir um ataque de URL/Parameter enumeration, qualquer URL deve conter um forte token randomico.