Lei Carolina Dieckmann não irá intimidar cibercriminosos, diz expert

A Lei 12.737, popularmente conhecida como “Lei Carolina Dieckmann”, entrou em vigor na terça (2). A nova legislação visa identificar e punir crimes cometidos por meio da Internet e, embora seja um grande avanço no mundo tecnológico, representa apenas o primeiro passo.

“Com certeza ainda há muito a ser feito. Por conta da exposição da mídia do caso Dieckmann e outros internacionais, houve uma mobilização popular para que essa lei fosse implantada rapidamente. Por conta disso, ela apresenta falhas e pontos não muito bem resolvidos. Não deixa de ser um marco importante na lei brasileira, mas encontrará muitas dificuldades para ser aplicada”, afirma Armando de Vilhena, diretor executivo da empresa de segurança TIX 11.

O principal problema apontado pelo especialista é o fato de que a lei restringe o ato criminoso. Segundo o artigo 1º da nova lei, somente é considerado crime se o dispositivo – conectado ou não a uma rede de computadores – for invadido por meio de quebra de senha ou de outros mecanismos de proteção.

“O problema disso é que, se você deixar o acesso à máquina livre, com o usuário desprotegido, e o fraudador não tiver que romper uma barreira para acessá-la, isso não será considerado crime. É o mesmo que deixar a sua carteira por alguns segundos em cima da mesa e alguém pegá-la”, disse Vilhena. “A lei está muito vinculada a uma quebra explícita de mecanismo de segurança e isso pode gerar problemas. Principalmente para usuários domésticos, que costumam não utilizar senhas em seus dispositivos.”

“Acredito que, em um ataque de grandes proporções como o que ocorreu na Coreia do Sul, em que se tem um montante de dados e testemunhas suficientes, a lei é extremamente válida. Mas, para o cidadão comum, ela ainda apresenta muitas falhas”, acrescentou José Damico, diretor de pesquisa e desenvolvimento da empresa. “Estamos lidando com um ambiente onde é difícil oferecer provas forenses irrefutáveis ou conseguir testemunhas que comprovam o crime”, complementa Vilhena.

Por mais que a lei tenha surgido para coibir crimes virtuais, ela não intimidará os crackers. “As leis de proteção normalmente surgem porque algo que não se previa aconteceu. Quando você tem uma rua ou estrada, é mais fácil demilitar regras. Você limita tudo o que interfere naquele meio e o que está fora dessa regra você barra. Mas, como mensurar limites em um computador?”, diz Damico. “É interessante como a tecnologia tem essa característica mutante de um organismo. Ela evolui, muda, cresce de maneira que não dá para entender. E as leis são pontuais. É difícil proteger uma criança ansiosa dentro de casa, se você não sabe o que ela pode fazer. A criatividade dos cribercriminosos permitirá que, em um ambiente desconhecido como a Internet, eles estejam sempre à frente.”

Outro ponto que essa nova lei vai acabar “esbarrando” no futuro é o limite entre a privacidade do usuário e a proteção. Com a lei permitindo que dados sejam coletados – para comprovar o crime em questão – há a possibilidade dos usuários enfrentarem um “rastreamento massivo”, que chegará ao ponto de não existir uma mensagem trocada sem interceptação.

“Tamanha regulação pode levar ao fim do anonimato na web, que é um dos únicos ambientes em que ainda se pode fazer algo sem ser identificado”, diz Damico. “Chegará ao ponto que será o mesmo que colocar uma câmera dentro da sua casa. Pode ser que ninguém esteja assistindo, mas eventualmente alguém pode dar uma olhada”, completa Vilhena.

Cuidado com as senhas

Se proteger em um ecossistema em que as informações pessoais estão publicamente divulgadas e que muda constantemente pode ser um desafio, mas algumas ações simples – e repetidamente lembradas – podem fazer a diferença.

Segundo os especialistas, os usuários pecam quando recebem mensagens, sejam elas e-mails ou via rede sociais. E esse é o vetor de infecção preferido de cibercriminosos, que se aproveitam da falta de atenção e da curiosidade inerente da natureza humana para convencer as vítimas a abrir um arquivo aparentemente inofensivo, ou redirecioná-la a um site comprometido.

“Esse é o jeito mais fácil e mais abrangente das pessoas caírem em golpes virtuais. Seria facilmente evitado, mas o usuário comum ainda é muito ingênuo”, diz Vilhena. “O primeiro cuidado que se deve ter é verificar a legitimidade da mensagem, principalmente quando é solicitado a realizar alguma ação como acessar um site”.

Esse tipo de ataque é conhecido como phishing ou spear phishing, quando é algo direcionado (como, por exemplo, um e-mail bancário fraudulento que contém o nome da vítima em vez do típico “caro usuário”).

“Um problema que ocorre e acaba com a nossa segurança é a ansiedade. O tempo é a velocidade de um clique e isso faz com que realizemos uma ação sem pensar”, afirma Damico. Quando menos se espera, clique, o usuário acaba em um site malicioso.

O velho hábito de escolher senhas fracas é outro erro cometido por usuários domésticos quando o assunto é proteção. É comum as pessoas usarem senhas baseadas em referências pessoais, como datas ou o nomes conhecidos. Esse tipo de informação é facilmente encontrado na rede e aquela combinação de nome do cachorro com telefone que parecia boa pode ser facilmente deduzida.

Para desenvolver uma senha forte a dica é escolher uma combinação longa e com caracteres diversos. “Quanto mais sem sentido a senha, melhor”, diz Vilhena. “Alguns administradores de rede acham que quanto maior a frequência para trocar a senha, maior a segurança e isso não é verdade. Se o usuário tiver que trocar muitas vezes, ele escolherá uma combinação fácil, para que não esqueça.”

Ou seja, é preferível que o usuário escolha uma senha mais elaborada, em vez de trocá-la compulsivamente. “Agora, se o usuário desconfiar que um vírus pode ter se instalado na máquina ou ocorrer alguma situação em que a senha pode ter sido descoberta, nesse caso deve-se, como ação preventiva, trocar todas as senhas como quem troca todas as fechaduras da casa”, recomenda Damico.

Vale lembrar também que usar a mesma senha para diversos serviços é algo arriscado. “Se um cracker invadir seu e-mail, por exemplo, por tabela ele também rouba informações sobre bancos, Facebook, da empresa. No final das contas, por uma vulnerabilidade, o usuário deixa toda a vida nas mãos do fraudador”, diz Vilhena.

Lei Carolina Dieckmann não irá intimidar cibercriminosos, diz expert – Internet – IDG Now!.

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *