RNP - Rede Nacional de Ensino e Pesquisa

english | español


 

 
Notícias RNP 
 

Debates do SCI terminam com encontro de grupos de segurança

Lei que coíbe crimes na Internet não é bem aceita pela comunidade acadêmica


O 12º Seminário RNP de Capacitação e Inovação (SCI) encerrou-se na última sexta-feira, 10 de novembro. Cerca de 150 pessoas participaram de cinco cursos nas áreas de operação, configuração, segurança e aplicativos de redes e assistiram a dez palestras, três mesas redondas e duas sessões de bate-papo. Toda a programação, excetuando-se os cursos, foi transmitida pela Internet.

Na quinta-feira (9), foi realizado o 2º ENCSIRTs (segundo encontro de grupos de segurança acadêmicos), última parte da programação do SCI aberta ao público. O encontro foi organizado pelo Centro de Atendimento a Incidentes de Segurança da RNP (CAIS) e pelo Centro de Atendimento e Tratamento de Incidentes de Seguranca da UFRJ (Cenatis) e tinha como objetivo discutir a segurança no âmbito das redes acadêmicas. A programação incluiu uma palestra sobre os serviços oferecidos pelo Cert/CC, grupo de segurança dos Estados Unidos; o anúncio oficial da inauguração do servidor de chaves públicas do CAIS; e uma mesa redonda sobre o Projeto de Lei 76/2000, que trata dos crimes de informática, em especial, dos cometidos pela Internet.

Participaram da mesa redonda "Impacto do Projeto de Lei 76/2000 nas instituições acadêmicas" representantes do Ministério Público, do Comitê Gestor da Internet no Brasil (CGI-BR), da Associação Nacional dos Dirigentes das Instituições Federais de Ensino Superior (Andifes) e da Rede Nacional de Ensino e Pesquisa (RNP). O objetivo era levantar impressões e opiniões da mesa e dos técnicos reunidos no SCI a respeito do projeto de lei, para que a RNP pudesse ter uma visão mais abrangente de seus impactos na comunidade acadêmica e, assim, possa tentar articular uma contribuição à elaboração da Lei via CGI-BR.

Penas severas para o "cibercriminoso"

O advogado Omar Kaminski, diretor de Internet do Instituto Brasileiro de Política e Direito da Informática e membro suplente do Comitê Gestor da Internet no Brasil, fez uma análise do PL 76/2000, apontando alguns problemas. Em sua opinião, as penalidades propostas no projeto são muito severas: "estamos rumando para um ponto em que dados de computador são mais valorados do que a própria vida", disse. Por exemplo, para o crime de "acessar indevidamente, ou sem autorização, dispositivo de comunicação ou sistema informatizado" (artigo 154-A) a pena prevista é dois a quatro anos de prisão e multa. Em contrapartida, o crime de lesão corporal (artigo 129 do Código Penal) tem pena prevista de três meses a um ano de detenção (podendo estender-se em caso de alguns agravantes).

Outro ponto criticado pelo advogado diz respeito à obrigatoriedade do armazenamento de dados de conexão (logs). Ele diz que o projeto de lei não especifica qual o tipo de dado a ser armazenado, se apenas relativo aos momentos de conexão e desconexão do usuário (na máquina ou na Internet) ou se refere-se à conexão de cada serviço acessado pelo usuário. A mesma questão foi abordada por Guilherme Vênere, analista de segurança sênior do CAIS. Ele mostrou arquivos de log diferentes para exemplificar o problema. Segundo Vênere, armazenar a informação de entrada (login) e saída (logout) de um usuário em uma máquina é relativamente simples, mas guardar os logs de cada processo ativado durante a conexão do usuário é mais complicado e exigiria uma grande capacidade de armazenamento. "Dependendo do tipo de informação que precise ser armazenado, pode ser que uma universidade não tenha como fazê-lo [pelo tempo previsto no projeto de lei, de três anos]", contou Vênere.

A participação do analista do CAIS no debate enfocou os aspectos técnicos. Ele disse que a identificação e a autenticação do usuário na esfera acadêmica não é um problema do ponto de vista técnico, mas que o uso de uma certificadora – como a ICP-Brasil – pode inibir projetos de inclusão digital, já que o custo é elevado. Ainda quanto a aspectos técnicos, Vênere lembrou que existem protocolos que independem de conexão e podem ser usados para forjar o envio de pacotes IP sem serem identificados pelo log de usuário. Além disso, uma máquina infectada pode desencadear ataques sem que o usuário logado no sistema saiba que isso está ocorrendo. Neste caso, um usuário poderia ser condenado injustamente ao tomar-se por base apenas o IP da máquina que provocou o ataque e o log de usuário da máquina no período do ataque.

Falta dinheiro para cumprir a lei

A questão financeira é uma das principais preocupações de Javam Machado, membro da diretoria do Colégio de Gestores de TI das instituições federais de ensino superior (Ifes) e representante da Andifes na mesa redonda. Na opinião de Machado, faltam recursos financeiros, falta pessoal e as redes dos campi estão totalmente sucateadas. Em resumo: não há dinheiro para comprar equipamentos capazes de identificar e autenticar os usuários e de armazenar os logs de acesso, e não há mão-de-obra disponível para cuidar desses equipamentos e do processo de inclusão e cancelamento de usuários.

Javam Machado diz que é difícil manter técnicos competentes operando as redes das universidades porque os salários são baixos e a demanda do mercado por esses profissionais é alta. "Está difícil contratar gente nesta área", afirmou. Em decorrência, as redes universitárias acabam sendo administradas por bolsistas e voluntários, de quem "não se pode exigir muito comprometimento", acrescentou Guilherme Vênere. Adicione-se a isso o fato de que os comutadores hoje usados em muitas universidades "não são gerenciáveis", segundo informou o representante da Andifes: "o administrador não consegue identificar os IPs", avisou.

Soluções criativas

Apesar do discurso predominante ser de que é necessário muito investimento em software e hardware, Fernando Martins, procurador do Ministério Público Federal (MP), defende a busca de soluções alternativas. "O problema é mais cultural que tecnológico", afirmou. Ele contou que o MP iniciou um trabalho de conscientização em Minas Gerais e que, em muitos casos, não havia recursos para investimento em processos de registro. "Mas houve boa vontade para a adoção de alternativas de baixo custo", salientou, lembrando o caso de uma lan-house cujo dono registrava o nome, a identidade e o horário de acesso de seus clientes em um caderno, sem usar nenhum sistema automatizado. Para Martins, o que importa é registrar a hora em que o sujeito entra e a hora em que ele sai do sistema, vinculando-o a um IP.

O procurador fez confusão entre os sistemas acadêmico e comercial, comparando a RNP a um provedor de acesso e as Ifes a cibercafés ou lan-houses. Neste cenário, seguindo a lógica de Martins, as Ifes deveriam guardar apenas os logs de entrada e saída dos usuários na rede e a RNP ficaria responsável pelos logs de conexão em serviços. Ocorre que a RNP não tem acesso a todos esses logs, de responsabilidade das universidades.

Fernando Martins frisou que a comunidade acadêmica precisa se movimentar para alterar a lei antes que ela seja aprovada e para implantar processos de registro e autenticação de usuários, pois, de uma forma ou de outra, a lei acabará entrando em vigor, com modificações ou não. O senador Eduardo Azeredo (PSDB-MG), relator do PL 76/2000, escreveu no jornal Folha de S. Paulo que "é preciso uma atitude urgente no sentido de combater e punir quem usa a tecnologia para provocar delitos". Não está sozinho: o projeto conta com o apoio do presidente do Senado, Renan Calheiros (PMDB-AL) e de outros parlamentares.

Insatisfação na platéia

A gerente do CAIS, Liliana Solha, acha que o princípio da lei, de identificar o usuário para reduzir o anonimato e dificultar o crime digital, é bom; mas acredita que, da forma como está proposto, será praticamente inviável para a comunidade acadêmica a curto prazo (a lei entra em vigor 120 dias após sua aprovação). O diretor de Operações da RNP, Alexandre Grojsgold, acha que o projeto de lei gera uma distorção, criminalizando quem não identifica o criminoso. Grojsgold disse que os crimes continuam os mesmos e que, por isso, não seria necessária uma nova lei: "ainda não inventaram nenhum crime que seja exclusivo da Internet". Um exemplo bastante citado pela platéia e pelos debatedores foi o crime de pedofilia, previsto já no Código Penal vigente.

Muitos administradores de redes presentes na platéia se mostraram preocupados. Eles afirmam que, tecnicamente, o controle em um ambiente disperso e dinâmico como uma universidade é complicado e que a solução poderá reduzir o acesso das pessoas às tecnologias da informação e comunicação. Citou-se o caso de cursos de extensão, nos quais, muitas vezes, os alunos não são cadastrados no sistema da universidade. Seriam, desta forma, impossibilitados de usar computadores da instituição. Problema semelhante foi apontado para o caso de acesso aberto a redes sem-fio (hot spots), que não seriam mais viáveis, uma vez que um usuário só poderá se conectar a uma rede após ser identificado. O impacto para a inclusão digital é negativo, lembraram alguns.

Um sistema de diretórios nacional pode ser parte da solução

Segundo os dados da Andifes, as instituições federais de ensino superior possuem cerca de 164.000 computadores conectados à Internet via rede Ipê. Usando estes pontos de acesso, estão aproximadamente o mesmo número de funcionários e professores e mais de 800.000 alunos. Existe ainda um grande número de usuários eventuais, visitantes que não possuem registro no sistema da instituição, o que torna ainda mais difícil autenticar os usuários. Como lembrou Guilherme Vênere, o sistema das universidades é diferente dos provedores comerciais e exigirá uma adaptação muito maior para se adequar à lei.

A platéia e a mesa concordavam que a identificação dos usuários em si é uma coisa boa. O mediador da mesa, Marcus Vinicius Mannarino, gerente de Comunicação e Marketing da RNP, lembrou que a própria RNP, desde 2005, vem discutindo com a Andifes as condições para a adoção de um sistema de diretórios com autenticação de usuários em nível nacional. Isto facilitaria o acesso a serviços e a identificação de docentes e discentes em qualquer instituição inscrita no sistema, sem que cada pessoa precisasse criar um novo registro para cada serviço ou universidade. Mas, segundo Javam, o problema é que ainda não há um projeto definido e recursos financeiros garantidos para implantar o sistema.

O fato é que a lei ainda não foi votada e há espaço para o debate. Espera-se que a mesa redonda durante o 2º ENCSIRTs tenha servido para esclarecer e motivar. O encontro de grupos de segurança fez parte da programação do 12º SCI, realizado em São Paulo, SP, de 6 a 10 de novembro.

[RNP, 14.11.2006]

Consulta em noticias

 


Notícias relacionadas:

Certificação digital para a comunidade acadêmica

Mesa redonda antecipa inauguração da AC Raiz da RNP

[RNP, 09.11.2006]

Telemedicina é tema de mesa redonda do 12º SCI

Wi-Max, videoconferência e operação da rede Ipê também foram discutidos

[RNP, 08.11.2006]

Cerca de 150 pessoas inscritas no 12º SCI

Seminário RNP de Capacitação e Inovação começou em 6 de novembro

[RNP, 07.11.2006]