O fenômeno do Wikileaks, organização que já divulgou dados sigilosos de várias nações, mostrou que o vazamento de informações não deixa livre nem mesmo grandes corporações e entidades governamentais.
Sandro Süffert, CTO da Techbiz Forense Digital, é consultor sênior em Segurança da Informação e já acompanhou vários incidentes em instituições públicas, financeiras e de telecomunicações. Com sua e experiência e bagagem de conhecimento, e como membro da High Technology Crime Investigation Asssociation (HTCIA) desde 2006, faz uma análise ampla e profunda das lições que o Wikileaks veio nos ensinar.
1) Em linhas gerais, o que o fenômeno do Wikileaks nos ensinou em termos de violação de dados sigilosos? Agora, foram informações da área diplomática, mas a sociedade -- em particular, a brasileira -- corre risco de ver vazar dados da Receita Federal ou da Polícia Federal?O vazamento de dados sigilosos não é uma novidade, porque a limitação de acesso a qualquer tipo de dado eletrônico é um desafio colossal em um mundo cada vez mais conectado, competitivo e dependente de informação. O fenômeno do Wikileaks traz como novidade a ampla divulgação dessas informações sigilosas, especialmente por uma organização que se propõe – supostamente – a proteger a fonte da informação confidencial e servir de interface com órgãos de imprensa.
O que o Wikileaks mostrou ao grande público é que, mesmo em redes e sistemas governamentais, sem acesso a partir da Internet (como a SIRPNET/Intelink do governo norte-americano), uma informação que pode ser acessada também pode ser divulgada sem autorização.
Para entender a motivação de casos de vazamento de dados, não podemos deixar de seguir a máxima “follow the money”. Dito isso, no caso de dados da Receita ou Polícia Federal, informações valiosas, quando acessadas ilegalmente, são vendidas no mercado negro – uma divulgação ampla de todos esses dados não seria economicamente proveitosa, além de potencialmente expor os responsáveis pelo vazamento às autoridades competentes.
Já no caso do Wikileaks, por trás da ideologia de informação livre, estabeleceu-se um modelo de negócio que paga altos salários e movimenta dezenas de milhões de dólares oriundos de doações. Ou seja, o negócio que mantém o site é o próprio vazamento de dados.
2) Em termos legais e éticos, como ficam os limites da imprensa na divulgação de notícias que possam colocar a segurança do país em risco? Até que ponto o cidadão comum tem direito de acesso a informações que podem colocar a segurança de um país em risco ou que, por outro motivo, são salvaguardadas pelos governos? No caso do material divulgado pelo Wikileaks, além do desconforto diplomático causado pela divulgação de detalhes como apelidos de chefes de Estado, existem informações classificadas como secretas, que claramente colocam a segurança dos Estados Unidos e de sua população em risco. Esse é o caso da lista atualizada de infraestruturas críticas norte-americanas localizadas no exterior, preparada pelo Departamento de Estado em 2009 e publicada a cerca de um mês por Assange e sua equipe.
Apesar de existirem outros sites underground que já faziam a divulgação desse tipo de informação, a estratégia do Wikileaks de distribuir simultaneamente os dados para diversos jornais (New York Times, Le Monde, El Pais, The Guardian e Der Spiegel) pretende dar uma maior legitimidade às informações divulgadas e ao mesmo tempo provocar uma competição entre os jornais.
Como a informação já vazou e será publicada, mais cedo ou mais tarde, por algum deles ou diretamente pelo Wikileaks, é de se imaginar o conflito ético ocorrido nas redações. Neste caso, o próprio conflito ético foi diluído por todas essas publicações e, como vimos, no embate entre a ética e a necessidade vender mais jornais que os concorrentes, o segundo venceu.
Quanto ao acesso às informações, todos os Estados precisam manipular dados sensíveis que são classificados como secretos ou ultrassecretos por motivos óbvios, como a segurança nacional, por exemplo. Em todo o mundo, os governos possuem órgãos de inteligência que trabalham com informações que não devem ser acessadas por todos os cidadãos, por motivos de segurança.
3) Como está a legislação brasileira em termos de proteção de dados sigilosos na era da Internet e de sites do estilo wiki? E em termos de punição? Você acha que as leis no Brasil deveriam ser atualizadas para lidar com situações como a gerado pelo Wikileaks?Tradicionalmente, há uma divisão ao se tratar os crimes envolvendo computadores: existem os chamados crimes próprios, que só podem ser cometidos por meio eletrônico, e os crimes impróprios, em que o meio eletrônico é apenas uma via para o seu cometimento. No caso em pauta, não entendo ser necessária atualização de legislação, pois se trata de uso da tecnologia para o cometimento de crimes já previstos anteriormente.
O direito à intimidade e à privacidade, assim como ao sigilo de correspondência, da comunicação de dados e conversas telefônicas, é tratado pela Constituição Federal e pelo nosso Código Penal. Existem inúmeros artigos que podem ser aplicados pelas autoridades competentes, conforme o caso. Dentre eles está
o Artigo 151 (Violação de Correspondência) [a
Lei n.o 9.296/96 - ver comentários abaixo], o Artigo 155 (Crime de Furto), o Artigo 163 (Crime de Dano), o Artigo 171 (Estelionato) e o Artigo 305 (Crime contra a Fé Pública). No caso das empresas públicas, cabe citar também o Artigo 325 do Código Penal, que trata da violação de sigilo funcional. A pena prevista é detenção, de seis meses a dois anos, ou multa, se o fato não constitui crime mais grave.
Nos últimos anos, o Governo Federal, através do Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República, amadureceu consideravelmente as iniciativas relacionadas às regras de segurança das informações e comunicações, como a normatização da área, classificação da informação e envolvimento de todos os envolvidos na proteção das nossas informações e infraestruturas críticas.
4) No caso do Wikileaks, o vazamento das informações foi sucedido por uma onda de ataques a empresas que retaliaram o site (como a Amazon, a Mastercard e a Visa). Essas ações seriam passíveis de punição no Brasil, se tivessem sido disparadas daqui?O desenvolvimento, distribuição e a utilização de ferramentas desse tipo são crimes previstos há anos em legislações de vários países, como Holanda, Inglaterra e Alemanha. No Brasil, caso haja indisponibilidade total ou parcial do site, pode-se configurar o crime de dano, previsto no artigo 163 do Código Penal, com pena de detenção, de um a seis meses, ou multa.
De acordo com esse mesmo artigo, pode-se configurar dano qualificado, caso seja efetuado “contra o patrimônio da União, Estado, Município, empresa concessionária de serviços públicos ou sociedade de economia mista” e, nesse caso, a punição prevista em lei é detenção de seis meses a três anos, e multa.
Se, além do ataque de negação de serviço, houver cobrança de valores para cessá-lo, há a configuração de crime de extorsão, previsto pelo artigo 158 do Código Penal, com pena de reclusão, de quatro a 10 anos, e multa.
Infelizmente, esse tipo de ação de “retaliação” não requer nenhuma sofisticação técnica e já começamos o ano com ataques similares de negação de serviço a sites governamentais brasileiros. A medida mais efetiva para evitar isso é identificar e punir adequadamente os responsáveis.
Em meu blog, abordei essa questão específica com mais profundidade, juntamente com o Dr. Emerson Wendt (
http://sseguranca.blogspot.com/2010/12/as-acoes-anti-anti-wikileaks-e.html).
5) Há algo que o usuário comum, as empresas ou as instituições governamentais possam fazer possam fazer para se proteger contra vazamentos de informações confidenciais?A tecnologia é mais útil na investigação de como os dados vazaram do que na proteção desses dados. Caso um adversário com intenção, motivação e capacidade (financeira e técnica) quiser obter essas informações, isso irá acontecer – mais cedo ou mais tarde.
O que se pode fazer é dificultar a ocorrência, elevando-se a dificuldade (financeira e técnica) necessária para a obtenção não autorizada desses dados.
A motivação de grande parte desses casos pode ser diretamente afetada pela adequada investigação e punição exemplar dos responsáveis por ocorrências que violem as políticas de segurança, como o vazamento de dados. Isso requer um investimento tecnológico e a necessidade de amadurecimento de todos os níveis da empresa, no tocante à segurança da informação. Qualquer tecnologia de proteção torna-se ineficaz sem a adequada classificação das informações e um controle do acesso e compartilhamento. E pior, se feita incorretamente, a proteção dos dados pode gerar uma situação com que poucas empresas estão dispostas a arcar: a limitação do acesso às informações que pode ser o principal diferencial competitivo da empresa.
Dentre as tecnologias mais úteis para evitar o vazamento de dados, está a criptografia. Ela é útil em vários níveis, desde o usuário final até empresas privadas e segredos de Estado. Para os usuários finais e empresas, existem ferramentas de criptografia de disco que garantem que informações sigilosas não cheguem às mãos indevidas, por exemplo, no caso de um notebook roubado. Ferramentas DLP (Data Leak Protection) e de forense computacional auxiliam na monitoração e na investigação de endpoints e da rede. Várias regulamentações de mercado, como a Sarbanes Oxley e PCI, apontam para esse tipo de abordagem ao problema.
Nas empresas, existem grupos de usuários que merecem uma monitoração adequada por possuírem acesso irrestrito às informações. É o caso de funcionários da área de TI, como administradores de bancos de dados e operadores de backup.
Para o usuário final, há dicas sobre como usar diferentes senhas fortes em diferentes serviços online, evitar a exposição de dados pessoais desnecessariamente em redes sociais, além do desenvolvimento de um senso crítico de que a Internet é uma ferramenta maravilhosa, mas que está cheia de armadilhas que devem ser evitadas.
6) Na sua visão, depois do Wikileaks, qual será o grande fenômeno que deve colocar a privacidade e a segurança das informações na berlinda?O fenômeno Wikileaks colocou a importância da segurança das informações em pauta em 2010, mas outros acontecimentos divulgados pela grande mídia fizeram o mesmo. É o caso da
Operação Aurora, em que o Google e cerca de 30 outras empresas norte-americanas tiveram informações confidenciais acessadas por hackers possivelmente financiados pelo governo chinês. Outro incidente importante foi a descoberta do código malicioso
StuxNet, que possui uma sofisticação técnica nunca antes encontrada e foi utilizado com sucesso – possivelmente por um Estado opositor – para atrasar a produção nuclear iraniana.
A ocorrência desse tipo de incidentes costuma levantar uma série de priorizações, investimentos e trazer o assunto da Segurança da Informação à tona. Mas a privacidade e a segurança devem ser assuntos fundamentais e estratégicos para governos, empresas e também para cidadãos comuns – independente desses fenômenos.
À medida que a complexidade desses milhões de sistemas interconectados, que chamamos de Internet, continuar a crescer, também deve crescer a importância da Segurança da Informação em todos os níveis de atuação da sociedade. As ameaças continuarão existindo e dados sigilosos serão acessados, independente da sua divulgação.