São Paulo, 29/08/2009
Inicialmente pontuamos que estamos perplexos com as ofensas a Vinicius Camacho, como se o mesmo fosse um criminoso de alta periculosidade. Inúmeros sites estão reproduzindo falácias, informando que Vinicius disse que invadiu Banco de Dados de clientes do Speedy da Empresa Telefônica. Vinicius é apenas um jovem profissional além do seu tempo, sem nunca ter qualquer antecedente criminal, pré-julgado por autoridades que desconhecem ou não acompanham a evolução tecnológica e suas características.
ViniciusKmax está sendo indiciado por acesso indevido e divulgação de informações pessoais de clientes do Speedy, pela Polícia Civil de São Paulo, certamente sob pressão da Empresa Telefônica. Na verdade tais imputações não procedem como se demonstrará no processo.
Vinícius é um profissional de segurança da informação, um hacker, pessoa que auxilia empresas a identificar vulnerabilidades em seus serviços e a corrigi-las rapidamente, agindo sempre de forma impessoal e norteado por princípios éticos inerentes a atividade. Infelizmente, na sociedade brasileira, e principalmente para a Polícia, “hacker” e “cracker’ são todos a mesma coisa, bandidos. Em nossa experiência na advocacia para Security Officers e Hackers comumente constatamos casos em que ficamos perplexos, onde hackers, após descobrirem falhas e notificarem às empresas, em contrapartida, recebiam contra si um processo criminal sobretudo envolvendo a chamada “criação de alarde”. Na verdade, nenhuma empresa está preparada para ouvir que ela é insegura e frágil, ainda mais se ela investe milhões em segurança e profissionais, e estes, não vêem óbvio, falhas, que outras pessoas com maior habilidade conseguem enxergar.
Cientes desta situação, muitos hackers White hat, acabam, ao invés de notificarem falhas de segurança às empresas, por explorá-las, momento em que se tornam crackers Black hat. Ou seja, esta postura, de não acreditar no hacker ou repudiar a notificação de falhas de segurança por terceiros, pelas empresas, acaba por fomentar o crime eletrônico, como se explicará.
Conscientes de que empresas não sabem lidar com reportes de falhas e que normalmente ignoram os avisos de pessoas então desconhecidas, hackers escolhem um entre dois caminhos: Ou ganham dinheiro com a falha e viram bandidos, ou publicam através de um grande veículo de comunicação, o que se chama no meio de “prova de conceito”. Tal medida se faz necessária para que a empresa cuja falha foi descoberta efetivamente acredite na informação e implemente a correção.
E foi justamente e somente isso que Vincius K-Max fez! O Hacker poderia usar a falha descoberta para extorquir a Telefônica, comercializar dados, ou até mesmo expô-los na internet, em todos os casos ganhando dinheiro sujo. Mas não, preferiu de maneira impessoal divulgar a falha a um grande jornal brasileiro, que a publicou em formato informativo. Vinicius está prestes a ser processado criminalmente por esta conduta!
Assim, ciente de que se notificasse a empresa poderia ser considerado criminoso ou ter sua afirmação como não aceita ou confiável, igualmente, sabedor que jamais usaria, assim como nunca usou, seus conhecimentos para prejudicar pessoas e obter ganhos, o jovem simplesmente divulgou o conceito através de um Jornal replicando em seu site pessoal.
No dia seguinte a falha estava corrigida! A Telefônica deveria agradecer ao Hacker pela informação publicada, que lhe poupou muitas cifras e principalmente, deveria aprender com o erro, criando um canal para reporte de falhas ou de resultados de penetration tests. Por que não contratá-lo ao invés de processá-lo criminalmente?
Não, ao invés disso provocou a polícia para que esta invadisse a casa de Vinicius e apreendesse seu objeto de trabalho, alías, uma busca e apreensão questionável, à medida em que não apreendeu só seu computador, mas seus livros, computador de seu pai (que trabalha na área), dispositivos de armazenamento da sua família e outros objetos que nenhuma relação guardavam com a investigação.
Agora façamos uma reflexão! Se Vinicius K-Max jamais divulgasse a falha que descobrira ou resolvesse lucrar com ela, sabe-se quando a Telefonia ou a Delegacia de Crimes Informáticos iria identifica-lo? Logicamente que nunca! Um profissional como Vinicius efetivamente não deixa rastros. Ou seja, não fosse sua espontânea publicação da falha, jamais chegariam até ele. Isso é o que nos revolta, se o programador explora a falha é bandido, mas se divulga para correções, também deve ser considerado bandoleiro?
Ora, Vinicius nunca agiu impulsionado por dinheiro, não precisa, é um profissional muito requisitado no Brasil para auditorias de segurança e testes de intrusão. Nunca pediu um centavo à Telefônica pelo serviço prestado. Se fosse um mau caráter, já teria facilmente enchido os bolsos e vendido a falha em comunidades secretas na Internet conhecida pelos crackers. Não, preferiu o caminho da retidão e da consciência limpa. Porém jamais esperava este resultado.
Quanto à falha encontrada, ao contrário da balburdia comunicativa que assessoria de imprensa de autoridades vem fazendo, Vinicius em nenhum momento executou varredura ou precisou invadir qualquer sistema fosse para descobri-la. A falha no site do Speedy era tão evidente, tão básica, tão trivial e tão conhecida que nem pode ser considerada falha, mas sim “sistema nitidamente aberto”. Vinicius não invadiu nada! Vinicius literalmente “tropeçou na falha”, que era gritante.
Não se pode cometer homicídio contra quem já está morto assim como não se invade o que se está aberto! Não há crime pela impropriedade do objeto. E mesmo que considerássemos que houve invasão, o que está claro não existiu, acesso indevido a sistemas computacionais ainda não é crime no Brasil e ninguém pode ser punido por uma conduta considerada atípica. É uma garantia e segurança jurídica de todo o cidadão.
É forçoso admitir, mas a vulnerabilidade da Telefônica (que permitia exploração via SQL Injection) era primária, básica e qualquer profissional de nível técnico conseguiria saná-la ou até mesmo detectá-la. Porém, é difícil reconhecer quando não se é eficaz, e é bem mais fácil mobilizar um Jurídico para buscar a privação da liberdade de um inocente.
Ao contrário do que se anuncia, Vinicius não violou dados ou privacidade de clientes, eis que o produto da falha ou o passo-à-passo específico para explorá-la, nunca foi divulgado. Foi feito um teste de conceito genérico, sem qualquer divulgação de segredo. Ainda, nunca foi divulgada lista de clientes como alardeado e isto ficará provado pela perícia digital a qual nos assistirá. A falha permitia a consulta de um cliente por vez, e ainda assim, o consulente deveria
saber previamente e indicar algum nome ou dado do cliente que precisava consultar. Logo, nenhum cliente teve dados violados. Vinicius nunca teve acesso ao banco de dados, eis que a falha permitia o disparo de instruções SQL pelo próprio site, de modo que não há de se falar em invasão. Era o próprio site que permitia tal consulta. A própria interface permitia! E todos sabemos, interface é algo público aos clientes e usuários.
Quanto às denúncias de “roubo de comunidades do orkut” gostaríamos muito que as autoridades nos mostrassem em qual artigo de lei estão se embasando para punir o jovem profissional de segurança? Vamos apreciar o inquérito e tomar as medidas cabíveis. Vinicius nunca roubou nada, as comunidades sempre estiveram lá! Para se roubar ou furtar é preciso que a coisa (no caso as comunidades) saia da esfera de disponibilidade da vítima! Isso não existe! Se essa lógica imatura persistir, em breve todos os profissionais que buscam falhas de segurança serão considerados bandidos da pior espécie e poderão sofrer privação de liberdade.
Será essa a resposta que a sociedade da informação deve dar a profissionais que tentam usar seus avançados conhecimentos para a ajuda e para o bem? Com um processo criminal e a apreensão de seus computadores e livros de estudo? É preciso maturidade para distinguir as diversas variantes de condutas praticadas através da informática, pois do contrário, muitos sofrerão processos e abusos. Infelizmente, se tal processo prosperar, o que não acreditamos, nitidamente teremos um quadro onde a sociedade figura como grande fomentadora do crime eletrônico.
Contudo, acreditamos no alto grau técnico dos profissionais e autoridades que estão conduzindo o inquérito e no poder de discernimento da 4a. DIG especializada em crimes eletrônicos, e temos a certeza que farão justiça e decidirão com sabedoria, considerando que o jovem programador não transgrediu nenhuma norma vigente no Brasil.
José Antonio Milagre
Advogado especialista em Direito Digital
Fone: 11 9461-0823 – 11 3014-0056
MSN: teledireito [at] hotmail.com
E-mail: jose.milagre [at] legaltech.com.br
Twitter: @periciadigital
