Não Prendam o Professor!

Na última reunião do GT de Segurança do Comitê Gestor da Internet no Brasil, a equipe do professor Antônio Montes apresentou uma palestra sobre o uso de honeynets para detectar e analisar botnets. A apresentação é o resumo de um trabalho de pesquisa excepcional: os pesquisadores do CENPRA capturaram um bot instalado por atacante em seus sistemas, fizeram uma análise do mecanismo de controle utilizado (tratava-se de mensagens via IRC), descobriram o servidor e a senha do canal IRC comandado pelo botmaster, e entraram neste canal para contar os bots controlados.

Por fazer esse tipo de trabalho, o professor Montes precisa no entanto tomar muito cuidado. Não com os bandidos que comandam botnets, mas com entidades como a Safernet, a auto-intitulada "central nacional de denúncias de crimes cibernéticos". Estas entidades estão fazendo um bem articulado lobby contra o instituto da Defesa Digital, um mecanismo proposto do projeto de Lei de Crimes Cibernéticos que protege pesquisas como a feita pelo CENPRA.

O projeto de lei de crimes cibernéticos criminaliza o acesso não autorizado a sistemas informatizados, isto é, a chamada "invasão de sistema". E o que a equipe do CENPRA fez poderia ser caracterizado exatamente como isso, afinal de contas eles acessaram o canal de controle da botnet sem a autorização do botmaster, após quebrar a senha utilizando monitoração de rede. Como condenar os pesquisadores seria um evidente absurdo, a lei cria uma exceção para a Defesa Digital, definida como sendo:

IV – defesa digital: manipulação de código malicioso por agente técnico ou profissional habilitado, em defesa própria, de seu preponente ou da sociedade, e sem risco para terceiros, de forma tecnicamente documentada e com preservação da cadeia de custódia no curso dos procedimentos correlatos, a título de teste de vulnerabilidade, de frustração de invasão ou burla, de proteção do sistema, de monitoração defensiva, de tentativa de identificação do agressor, de exercício de forense computacional e de práticas gerais de segurança da informação.

Notem as diversas qualificações: defesa própria, sem riscos para terceiros, documentada e com cadeia de custória, no contexto de um incidente em andamento. A Defesa Digital não é uma carta em branco para um "justiceiro" atuar na Internet, e sim um mecanismo para proteger atividades legítimas de segurança da informação. Sem a Defesa Digital, trabalhos não só como o do CENPRA como de vários outros pesquisadores e profissionais da segurança da informação ficariam sujeitos a um imenso risco legal.

Quem acha que o que eu estou descrevendo é um exagero não precisa ir muito longe. Exatamente isso aconteceu na Alemanha, onde uma lei de crimes cibernéticos foi aprovada sem a Defesa Digital, exatamente como querem fazer aqui no Brasil entidades como a Safernet. O resultado foi trágico, com projetos como o KisMac tendo que mudar de país e sites como o do PhenoElit fechando.

Há muito tempo já ficou claro que a oposição ao projeto de lei de crimes cibernéticos é ignorante em termos técnicos e que tem pouca ou nenhuma noção de Segurança da Informação. Infelizmente os profissionais da nossa área não têm tido espaço nesse debate, e poucas vozes ressaltam a importância da Defesa Digital (além da ISSA, a advogada Patrícia Peck parece ser uma honrosa exceção). Vamos torcer para que no final o bom senso prevaleça, e profissionais sérios como o do CENPRA possam fazer suas pesquisas sem correr o risco de parar na cadeia.

UPDATE: Um post interessante na lista botnets.

Outro UPDATE: Incluída a menção a ISSA, que colaborou para que a definicão de Defesa Digital fosse melhorada no projeto.