Celulares viraram casa da mãe joana

Mas o fato é que os celulares de muitas autoridades públicas brasileiras viraram uma espécie de casa da mãe joana. Em outras palavras, devido ao descaso absoluto com medidas básicas de segurança, muitas das informações desses aparelhos se tornaram totalmente vulneráveis.

Os fatos divulgados na semana passada sobre a invasão do celular do ministro Sergio Moro e outras autoridades do primeiro escalão podem indicar que o buraco é muito mais profundo.

A técnica empregada pelos "hackers" da cidade de Araraquara na verdade não requer nenhum conhecimento profundo em tecnologia para ser utilizada. Ao contrário, o procedimento é tão rudimentar e simples que há inúmeros vídeos na internet ensinando como fazer a mesma coisa que os golpistas que vazaram os dados da Lava Jato fizeram (boa parte desses vídeos tem menos de um minuto e meio de duração).

Ou seja, não é preciso ser hacker com conhecimentos técnicos para executar a modalidade de vazamento que aparentemente afetou centenas de pessoas públicas no país.

Dado o caráter rudimentar do golpe, é possível conjecturar que potencialmente inúmeros aventureiros —talvez centenas— possam ter resolvido brincar de hacker, experimentando para ver se conseguiriam obter informações de pessoas politicamente expostas.

É como se os celulares dessas autoridades tivessem se tornado lugares públicos, acessíveis a qualquer pessoa com a paciência de assistir a um vídeo de um minuto e meio e que obtenha o número de telefone de alguma autoridade pública (porque, assim que ela for hackeada, dará acesso também à sua lista completa de contatos para o golpista).

Então qual foi a falha? Como sempre, em casos como esse, o problema acontece em múltiplos pontos. O primeiro é o uso do aplicativo Telegram, que já foi apontado por instituições como a Electronic Frontier Foundation como tendo vários pontos vulneráveis.

Outro problema é não ter acionado o segundo fator de autenticação do aplicativo, dando-se por satisfeito em utilizar apenas o número do telefone.

Outra vulnerabilidade está no fato de que as caixas de mensagens de voz dos celulares, em regra, podem ser acessadas automaticamente quando recebem uma ligação do próprio número da linha. Como o caso da semana passada demonstrou, fazer spoofing ("simular") um número de telefone é prática trivial hoje.

Mas um dos pontos cruciais é o fato de que não há política de cibersegurança implementada na administração pública brasileira.

Quem lida com questões de segurança nacional (ou mesmo de interesse público) no primeiro escalão não deveria ter a opção de usar seu telefone comum, cheio de aplicativos comerciais com graus incertos de segurança. É o que acontece nos EUA, onde o presidente (e o primeiro escalão) passa a utilizar aparelhos especiais fornecidos pelas autoridades de segurança institucional, com exceção de Trump, que não topou todas as medidas.

Talvez a visibilidade que esse tema ganhou possa levar ao amadurecimento da cibe segurança na administração pública do país. Esse amadurecimento é tardio. Mas, se a lição da semana passada não foi suficiente, difícil dizer o que será. (FOLHA DE SP)

Segunda-feira, 29 de julho, 2019 ás 11:00

  spoofing- hackeada - cibersegurança

Presidente volta a defender proposta sobre deportação sumária

O presidente Jair Bolsonaro defendeu sábado (27/07) a proposta do Ministério da Justiça que prevê deportação sumária para suspeitos de alguns crimes.

Ele negou, entretanto, que a portaria ministerial tenha o objetivo de atingir o jornalista americano Glenn Greenwald, cujo site tem divulgado supostas conversas do ministro Sergio Moro, da Justiça, com procuradores da Operação Lava Jato.

“Tanto é que não se encaixa na portaria o crime que ele está cometendo. Até porque ele é casado com outro homem [deputado federal David Miranda, que é brasileiro] e tem meninos adotados no Brasil. Ele não vai embora, o Glenn pode ficar tranquilo. Talvez ele pegue uma cana aqui no Brasil. Não vai pegar lá fora, não”, disse durante cerimônia de formatura de paraquedistas no Rio de Janeiro.

Bolsonaro afirmou que suspeitos de crime têm que ser “mandados para fora do Brasil”. “Eu não sou xenófobo, mas na minha casa, entra quem eu quero. E a minha casa, no momento, é o Brasil”.

Novos dados sobre desmatamento

Ainda no Rio, Bolsonaro afirmou neste sábado que deve divulgar, na próxima semana, novos dados sobre desmatamento do Instituto Nacional de Pesquisas Espaciais (Inpe). O presidente mostrou recentemente insatisfação com informações da instituição que mostram aumento da área desmatada no país.

“Já está tudo levantado. Está nas mãos do Marcos Pontes [ministro da Ciência e Tecnologia] e do Ricardo Salles [ministro do Meio Ambiente] a divulgação desses dados, talvez na quarta-feira agora”, observou.

O presidente da República voltou a defender a exploração econômica da Amazônia e de outras áreas protegidas, como o litoral de Angra dos Reis. “Não podemos tratar o meio ambiente como uma psicose ambiental”, afirmou. (ABr)

Domingo, 28 de julho, 2019 ás 00:05

Entenda as bases legais e as polêmicas jurídicas da Operação Spoofing

Nesta semana a Polícia Federal deflagrou a Operação Spoofing, que prendeu em caráter temporário quatro pessoas investigadas pela invasão de telefones e obtenção de dados do ministro da Justiça, Sérgio Moro, e de outras autoridades. Danilo Cristiano Marques, Gustavo Henrique Elias Santos, Suelen Priscila de Oliveira e Walter Delgatti Neto foram detidos nas cidades de São Paulo, Ribeirão Preto e Araraquara.

As práticas apontadas nas acusações e suspeitas dos investigadores são disciplinadas pela Lei de Crimes Cibernéticos. A norma ganhou à época da aprovação o nome de “Lei Carolina Dieckman”, em referência à atriz, vítima de invasão de aparelhos eletrônicos pessoais e divulgação de imagens íntimas. A Lei atualizou o Código Penal (Decreto-Lei nº 2.848, de 7 de dezembro de 1940) para incluir no rol de crimes elencado neste também delitos cibernéticos.

O Artigo 154-A do Código Penal passou a prever como crime “invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita”.

A pena prevista é de três meses a um ano, além de multa. Mas a sanção pode ser aumentada em determinados casos. Entre eles se as vítimas forem autoridades como o presidente da República, Supremo Tribunal Federal, Câmara, Senado e assembleias legislativas e câmaras de vereadores, além de governadores e prefeitos. Se a invasão servir para obter “obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas”, o tempo de detenção pode ir de seis meses a dois anos.

Finalidade

Para o advogado criminalista e professor do Instituto de Direito Público Fernando Parente, para serem enquadrados no Artigo 154-A, é preciso comprovar que houve finalidade de “obter vantagem ilícita”. Aí entra como uma parte importante da investigação da identificação da origem de movimentações financeiras incompatíveis com as rendas de parte dos detidos. A PF indicou que, entre 18 de abril e 29 de junho, Gustavo movimentou em sua conta bancária R$ 424 mil e Suelen, pouco mais de R$ 203 mil entre 7 de março e 29 de maio.

Contudo, complementa o docente, se não for comprovada a obtenção de vantagem ilícita a depender das investigações haveria a possibilidade de condenação por “interceptação de comunicações telefônicas, de informática ou telemática”, conforme previsto no Artigo 10o da Lei 9.296 de 1996. Neste caso, a reclusão prevista é de 2 a 4 anos. Se fosse identificação de uma prática recorrente e com diversas vítimas, ao delito poderia ser agregado outro, de organização criminosa.

Mais vítimas

A PF suspeita que outras pessoas tenham sido vítimas de invasão. Na quarta-feira (24), investigadores da corporação concederam entrevista coletiva na qual disseram que aproximadamente mil números “foram alvo desse modus operandi por essa quadrilha”, conforme definiu o coordenador-geral de inteligência, João Xavier Filho. Mas o total de vítimas ainda está sendo analisado.

O próprio ministro da Justiça passou a comunicar outras autoridades dessa condição. O presidente do Supremo Tribunal de Justiça, João Otávio Noronha, publicou nota na qual relatava ter recebido a informação de Moro de que estaria na lista de pessoas alvo dos ataques cibernéticos. “O ministro do STJ disse que está tranquilo porque não tem nada a esconder e que pouco utilizava o Telegram”, destacou a Corte no comunicado.

Provas

Na mesma nota, o STJ registrou que o ministro teria manifestado intenção de destruir o conteúdo das mensagens acessadas pelos investigados. A declaração trouxe uma polêmica jurídica sobre a intenção sugerida. A Ordem dos Advogados do Brasil solicitou ao juiz do caso, Vallisney de Souza Oliveira, da 10ª Vara Federal em Brasília, que fossem “expedidas ordens judiciais para que as autoridades policiais, o Exmo. Ministro da Justiça e os demais interessados nas investigações se abstenham da tomada de quaisquer medidas que possam levar ao comprometimento da integridade do material probatório coligido na Operação Spoofing”.

Em outra nota, divulgada ontem, a Polícia Federal afirmou que a Operação Spoofing não tem como objeto “a análise das mensagens supostamente subtraídas de celulares invadidos”, que “o conteúdo de quaisquer mensagens que venham a ser localizadas no material apreendido será preservado” e que “caberá à justiça, em momento oportuno, definir o destino do material, sendo a destruição uma das opções”.

Na avaliação do advogado criminalista André Hespanhol, não cabe ao Ministro da Justiça qualquer decisão sobre o material probatório, mas ao Poder Judiciário, respeitando-se o devido processo legal. “Não faz parte de suas atribuições interferir em investigações sigilosas. Não cabe ao Ministro de Estado tomar ciência e conduzir diligências em inquérito por ele ‘escolhido’ segundo critérios próprios, sobretudo quando já há medidas determinadas pelo Poder Judiciário, pressupondo-se, portanto, a existência de um filtro mínimo sobre a legalidade e controle da atividade policial e, inclusive, a atuação do Ministério Público. Menos ainda quando o Ministro é pessoalmente interessado”, comenta.

Segundo o advogado, cabe ao Poder Judiciário definir se uma prova é lícita ou não, o que poderá ser feito com elas, quando e como, “dentro das prescrições legais e das balizas estabelecidas na jurisprudência dos Tribunais Superiores”. “Aquelas provas podem ser usadas não só para a acusação dos autores da conduta apontada como criminosa, sua extensão, potencial lesivo e até mesmo outros atores, mas, fundamentalmente, para a defesa de tais indivíduos e terceiros naquele contexto implicado”, acrescenta.

Cuidados

Para o advogado especialista em direito digital Luís Fernando Prado, não somente autoridades mas todo cidadão está sujeito à invasão de celulares ou outros dispositivos informáticos. Caso um indivíduo verifique essa situação pode procurar uma delegacia especializada em crimes cibernéticos e solicitar uma investigação sobre o ocorrido e os responsáveis. Outra alternativa é abrir um processo na esfera civil para exigir reparação, como a condenação por danos morais.

Além disso, o advogado sugere a adoção de medidas imediatas logo após a ciência de um ataque. “A primeira recomendação é trocar a senha não só naquele dispositivo, mas em todos os outros. O segundo passo é ativar dupla autenticação, que hoje diversos serviços possuem. A terceira é preservar as provas. Se houve transação indevida na minha conta, tenho que reunir provas que não fiz aquilo”, aconselha. (ABr)

Sábado, 27 de julho, 2019 ás 11:00

https://wwwgirau.blogspot.com.br/