http://www.rnp.br/noticias/2006/not-061114b.html
Lei que coíbe crimes na Internet não é bem aceita pela comunidade acadêmica
14.11.2006
O 12º Seminário RNP de Capacitação e Inovação (SCI) encerrou-se na última
sexta-feira, 10 de novembro. Cerca de 150 pessoas participaram de cinco
cursos nas áreas de operação, configuração, segurança e aplicativos de redes
e assistiram a dez palestras, três mesas redondas e duas sessões de
bate-papo. Toda a programação, excetuando-se os cursos, foi transmitida pela
Internet.
Na quinta-feira (9), foi realizado o 2º ENCSIRTs (segundo encontro de grupos
de segurança acadêmicos), última parte da programação do SCI aberta ao
público. O encontro foi organizado pelo Centro de Atendimento a Incidentes
de Segurança da RNP (CAIS) e pelo Centro de Atendimento e Tratamento de
Incidentes de Seguranca da UFRJ (Cenatis) e tinha como objetivo discutir a
segurança no âmbito das redes acadêmicas. A programação incluiu uma palestra
sobre os serviços oferecidos pelo Cert/CC, grupo de segurança dos Estados
Unidos; o anúncio oficial da inauguração do servidor de chaves públicas do
CAIS; e uma mesa redonda sobre o Projeto de Lei 76/2000, que trata dos
crimes de informática, em especial, dos cometidos pela Internet.
Participaram da mesa redonda "Impacto do Projeto de Lei 76/2000 nas
instituições acadêmicas" representantes do Ministério Público, do Comitê
Gestor da Internet no Brasil (CGI-BR), da Associação Nacional dos Dirigentes
das Instituições Federais de Ensino Superior (Andifes) e da Rede Nacional de
Ensino e Pesquisa (RNP). O objetivo era levantar impressões e opiniões da
mesa e dos técnicos reunidos no SCI a respeito do projeto de lei, para que a
RNP pudesse ter uma visão mais abrangente de seus impactos na comunidade
acadêmica e, assim, possa tentar articular uma contribuição à elaboração da
Lei via CGI-BR.
Penas severas para o "cibercriminoso"
O advogado Omar Kaminski, diretor de Internet do Instituto Brasileiro de
Política e Direito da Informática e membro suplente do Comitê Gestor da
Internet no Brasil, fez uma análise do PL 76/2000, apontando alguns
problemas. Em sua opinião, as penalidades propostas no projeto são muito
severas: "estamos rumando para um ponto em que dados de computador são mais
valorados do que a própria vida", disse. Por exemplo, para o crime de
"acessar indevidamente, ou sem autorização, dispositivo de comunicação ou
sistema informatizado" (artigo 154-A) a pena prevista é dois a quatro anos
de prisão e multa. Em contrapartida, o crime de lesão corporal (artigo 129
do Código Penal) tem pena prevista de três meses a um ano de detenção
(podendo estender-se em caso de alguns agravantes).
Outro ponto criticado pelo advogado diz respeito à obrigatoriedade do
armazenamento de dados de conexão (logs). Ele diz que o projeto de lei não
especifica qual o tipo de dado a ser armazenado, se apenas relativo aos
momentos de conexão e desconexão do usuário (na máquina ou na Internet) ou
se refere-se à conexão de cada serviço acessado pelo usuário. A mesma
questão foi abordada por Guilherme Vênere, analista de segurança sênior do
CAIS. Ele mostrou arquivos de log diferentes para exemplificar o problema.
Segundo Vênere, armazenar a informação de entrada (login) e saída (logout)
de um usuário em uma máquina é relativamente simples, mas guardar os logs de
cada processo ativado durante a conexão do usuário é mais complicado e
exigiria uma grande capacidade de armazenamento. "Dependendo do tipo de
informação que precise ser armazenado, pode ser que uma universidade não
tenha como fazê-lo [pelo tempo previsto no projeto de lei, de três anos]",
contou Vênere.
A participação do analista do CAIS no debate enfocou os aspectos técnicos.
Ele disse que a identificação e a autenticação do usuário na esfera
acadêmica não é um problema do ponto de vista técnico, mas que o uso de uma
certificadora - como a ICP-Brasil - pode inibir projetos de inclusão
digital, já que o custo é elevado. Ainda quanto a aspectos técnicos, Vênere
lembrou que existem protocolos que independem de conexão e podem ser usados
para forjar o envio de pacotes IP sem serem identificados pelo log de
usuário. Além disso, uma máquina infectada pode desencadear ataques sem que
o usuário logado no sistema saiba que isso está ocorrendo. Neste caso, um
usuário poderia ser condenado injustamente ao tomar-se por base apenas o IP
da máquina que provocou o ataque e o log de usuário da máquina no período do
ataque.
Falta dinheiro para cumprir a lei
A questão financeira é uma das principais preocupações de Javam Machado,
membro da diretoria do Colégio de Gestores de TI das instituições federais
de ensino superior (Ifes) e representante da Andifes na mesa redonda. Na
opinião de Machado, faltam recursos financeiros, falta pessoal e as redes
dos campi estão totalmente sucateadas. Em resumo: não há dinheiro para
comprar equipamentos capazes de identificar e autenticar os usuários e de
armazenar os logs de acesso, e não há mão-de-obra disponível para cuidar
desses equipamentos e do processo de inclusão e cancelamento de usuários.
Javam Machado diz que é difícil manter técnicos competentes operando as
redes das universidades porque os salários são baixos e a demanda do mercado
por esses profissionais é alta. "Está difícil contratar gente nesta área",
afirmou. Em decorrência, as redes universitárias acabam sendo administradas
por bolsistas e voluntários, de quem "não se pode exigir muito
comprometimento", acrescentou Guilherme Vênere. Adicione-se a isso o fato de
que os comutadores hoje usados em muitas universidades "não são
gerenciáveis", segundo informou o representante da Andifes: "o administrador
não consegue identificar os IPs", avisou.
Soluções criativas
Apesar do discurso predominante ser de que é necessário muito investimento
em software e hardware, Fernando Martins, procurador do Ministério Público
Federal (MP), defende a busca de soluções alternativas. "O problema é mais
cultural que tecnológico", afirmou. Ele contou que o MP iniciou um trabalho
de conscientização em Minas Gerais e que, em muitos casos, não havia
recursos para investimento em processos de registro. "Mas houve boa vontade
para a adoção de alternativas de baixo custo", salientou, lembrando o caso
de uma lan-house cujo dono registrava o nome, a identidade e o horário de
acesso de seus clientes em um caderno, sem usar nenhum sistema automatizado.
Para Martins, o que importa é registrar a hora em que o sujeito entra e a
hora em que ele sai do sistema, vinculando-o a um IP.
O procurador fez confusão entre os sistemas acadêmico e comercial,
comparando a RNP a um provedor de acesso e as Ifes a cibercafés ou
lan-houses. Neste cenário, seguindo a lógica de Martins, as Ifes deveriam
guardar apenas os logs de entrada e saída dos usuários na rede e a RNP
ficaria responsável pelos logs de conexão em serviços. Ocorre que a RNP não
tem acesso a todos esses logs, de responsabilidade das universidades.
Fernando Martins frisou que a comunidade acadêmica precisa se movimentar
para alterar a lei antes que ela seja aprovada e para implantar processos de
registro e autenticação de usuários, pois, de uma forma ou de outra, a lei
acabará entrando em vigor, com modificações ou não. O senador Eduardo
Azeredo (PSDB-MG), relator do PL 76/2000, escreveu no jornal Folha de S.
Paulo que "é preciso uma atitude urgente no sentido de combater e punir quem
usa a tecnologia para provocar delitos". Não está sozinho: o projeto conta
com o apoio do presidente do Senado, Renan Calheiros (PMDB-AL) e de outros
parlamentares.
Insatisfação na platéia
A gerente do CAIS, Liliana Solha, acha que o princípio da lei, de
identificar o usuário para reduzir o anonimato e dificultar o crime digital,
é bom; mas acredita que, da forma como está proposto, será praticamente
inviável para a comunidade acadêmica a curto prazo (a lei entra em vigor 120
dias após sua aprovação). O diretor de Operações da RNP, Alexandre
Grojsgold, acha que o projeto de lei gera uma distorção, criminalizando quem
não identifica o criminoso. Grojsgold disse que os crimes continuam os
mesmos e que, por isso, não seria necessária uma nova lei: "ainda não
inventaram nenhum crime que seja exclusivo da Internet". Um exemplo bastante
citado pela platéia e pelos debatedores foi o crime de pedofilia, previsto
já no Código Penal vigente.
Muitos administradores de redes presentes na platéia se mostraram
preocupados. Eles afirmam que, tecnicamente, o controle em um ambiente
disperso e dinâmico como uma universidade é complicado e que a solução
poderá reduzir o acesso das pessoas às tecnologias da informação e
comunicação. Citou-se o caso de cursos de extensão, nos quais, muitas vezes,
os alunos não são cadastrados no sistema da universidade. Seriam, desta
forma, impossibilitados de usar computadores da instituição. Problema
semelhante foi apontado para o caso de acesso aberto a redes sem-fio (hot
spots), que não seriam mais viáveis, uma vez que um usuário só poderá se
conectar a uma rede após ser identificado. O impacto para a inclusão digital
é negativo, lembraram alguns.
Um sistema de diretórios nacional pode ser parte da solução
Segundo os dados da Andifes, as instituições federais de ensino superior
possuem cerca de 164.000 computadores conectados à Internet via rede Ipê.
Usando estes pontos de acesso, estão aproximadamente o mesmo número de
funcionários e professores e mais de 800.000 alunos. Existe ainda um grande
número de usuários eventuais, visitantes que não possuem registro no sistema
da instituição, o que torna ainda mais difícil autenticar os usuários. Como
lembrou Guilherme Vênere, o sistema das universidades é diferente dos
provedores comerciais e exigirá uma adaptação muito maior para se adequar à
lei.
A platéia e a mesa concordavam que a identificação dos usuários em si é uma
coisa boa. O mediador da mesa, Marcus Vinicius Mannarino, gerente de
Comunicação e Marketing da RNP, lembrou que a própria RNP, desde 2005, vem
discutindo com a Andifes as condições para a adoção de um sistema de
diretórios com autenticação de usuários em nível nacional. Isto facilitaria
o acesso a serviços e a identificação de docentes e discentes em qualquer
instituição inscrita no sistema, sem que cada pessoa precisasse criar um
novo registro para cada serviço ou universidade. Mas, segundo Javam, o
problema é que ainda não há um projeto definido e recursos financeiros
garantidos para implantar o sistema.
O fato é que a lei ainda não foi votada e há espaço para o debate. Espera-se
que a mesa redonda durante o 2º ENCSIRTs tenha servido para esclarecer e
motivar. O encontro de grupos de segurança fez parte da programação do 12º
SCI, realizado em São Paulo, SP, de 6 a 10 de novembro.
_______________________________________________
PSL-Brasil mailing list
PSL-Brasil@listas.softwarelivre.org
http://listas.softwarelivre.org/mailman/listinfo/psl-brasil
Regras da lista:
http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil
