[GTER] Responsabilidade em casos de ataque

Adriano Mauro Cansian adriano at unesp.br
Tue Mar 25 15:53:01 -03 2003 

At 18:40 25/3/2003 +0000, José Henriques Júnior wrote:

>1. Quando um usuário de um provedor X usa sua máquina para invadir outra 
>máquina ou uma instiuição, de quem é a responsabilidade de punir o 
>usuário? O Provedor ou a empresa que foi atacada?

Depende da sua política de uso aceitável (AUP - Acceptable User Policy), ou 
do contrato entre o provedor e o usuário.

A empresa atacada pode tentar processar o atacante - seja o provedor e/ou 
usuário - desde que consiga coletar um conjunto de evidências que seja 
aceitável perante a justiça. Vide legislação mais abaixo.

>2. Quando a senha do usuário é roubada (vejam a quantidade de usuários e 
>senhas que circulam no canal de irc #digratis), quem é responsável pelo 
>uso indevido da senha? O usuário, que criou uma senha fácil ou o provedor, 
>que permite ou não criou mecanismos de trafegar a senha de forma segura?

Novamente depende da sua política de uso ou contrato.

Aqui na UNESP existe uma AUP e outras normas que diz que a responsabilidade 
por manter senha fortes é do usuário. O usuário, ao obter uma conta no 
nosso sistema, assina um termo de compromisso onde se compromete a seguir 
as normas e a responder pelo mau uso de sua conta.

Se quiser usar como referência, veja nossas normas e regulamentos em 
http://www.unesp.br/ai .

Em particular, recomendo este regulamento geral, que é nossa AUP: 
http://www.unesp.br/ai/pdf/rg-ai.00.01.01.pdf

E também este, referente ao uso de senhas: 
http://www.unesp.br/ai/pdf/nt-ai.01.05.01.pdf

>3. No caso do provedor, que quando notificado de uma tentativa de invasão 
>de um de seus usuários, não toma nenhuma atitude (finge que não é com 
>eles), o que pode ser feito? Pode se processar o provedor? Existe alguma 
>legislação ou processo que abra precedente para isto?

As principais leis que podem ser usadas num processo envolvendo segurança 
de computadores, são as seguintes:

Legislação geral aplicada a crimes eletrônicos:
· Inserção de dados falsos em sistema de informações - Previdência Social - 
Lei 9983 / 2000
· Lei de interceptação de comunicações telemáticas - Lei 9296 / 1996
· Lei sobre Pornografia envolvendo crianças - Lei 8069 / 1990
· Lei de direitos autorais e pirataria - Lei 9610 / 1998

Código Penal aplicável a crimes eletrônicos::
. Código Penal - Art. 163 - Dano
. Código Penal - Art. 171 / 307 - Estelionato
. Código Penal - Art. 138 / 139 / 140 - Calúnia, difamação, injúria

Em tramitação no Congresso Nacional:

Projeto de Lei PL - 84 / 99
Ementa: Dispõe sobre os crimes cometidos na área de informática, suas 
penalidades e dá outras providências.
Autor: Luiz Piauhylino - PSDB / PE . Data de Apresentação: 24/2/1999

Ressalto que para a aplicação correta das leis, é preciso uma boa instrução 
do processo. Isso começa com uma boa coleta de provas e evidências, que 
permitam levar o caso aos tribuinais. Entretanto, existem poucos peritos no 
Brasil, em condições de realizar uma coleta de provas eficiente no caso de 
um crime eletrônico. Custa caro e muitas vezes nem compensa.

>4. No caso da tentativa de invasão resultar na perda ou roubo da 
>informação, e sua consequente divulgação da informação na internet, quem 
>pode processar quem?

Depende da coleta de evidências. Vide acima.

Espero que ajude.

Saudações

-Adriano Cansian





----
Adriano Mauro Cansian, Prof. Dr.
Assessor Chefe de Informatica			Tel.  (11) 252-0415
UNESP - Universidade Estadual Paulista - Reitoria
----
-------------- next part --------------

---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.461 / Virus Database: 260 - Release Date: 10/3/2003

More information about the gter mailing list