Lei de Crimes na Internet: Inútil e Perigosa

Sempre que eu leio sobre leis como o projeto de Lei do Senador Eduardo Azeredo para a “tipificação de crimes na Internet”, me pergunto se essas pessoas que são nossos representantes no governo são apenas despreparadas, inocentes ou simplesmente são mal-intencionados. Prefiro como cidadão brasileiro imaginar que seja a primeira ou a segunda resposta, mas cada vez mais me vejo pensando que é o terceiro: que “nossos representantes” estão apenas representando os interesses de uma pequena parcela de megacorporações que possuem interesses diversos (e muitas vezes antagônicos) aos da sociedade.
Por que digo isso?
Essa legislação, que visa em sua teoria lutar contra a pedofilia, é talvez um dos maiores exemplos de como uma lei pode ser mal redigida por pessoas cujo conhecimento do funcionamento da Internet é zero ou beira isso.
Vou tentar me manter no nível técnico, expondo as mazelas dessa legislação no âmbito técnico e seu impacto real na sociedade, tal como fiz em outras ocasiões, como no caso do Cicagate. Vou falar das características que me lembro e apontar links para materiais relevantes na Net. Se esquecer algo válido, peço desculpas: são muitos assuntos para pouco tempo.
Vejamos então:

Log de acesso por três anos

Para começar, vamos direto a uma das partes mais bizarras da legislação, que é a obrigatoriedade do log de acesso de todos os usuários de um provedor por três anos. Pois bem:
Qualquer um que tenha trabalhado com o gerenciamento, análise e manutenção de logs de qualquer tipo sabe que, dependendo de como o log é construído, existe uma explosão na quantidade de dados registrados que pode até mesmo comprometer o sistema. Segundo o substitutivo, a lei em questão exige registro (ou mais exatamente “retenção”) de todos os acessos de todos os usuários por no mínimo três anos. Normalmente, os logs de sistemas operacionais e aplicações são bem menores, de três/quatro dias. E não sem razão.
Imaginemos um exemplo fictício: temos um sistema de log genérico (chamemos de genlog para facilitar) que é capaz de registrar as informações solicitadas pela legislação. Esse genlog registra cada chamada IP do usuário em um formato como o abaixo:

nome_usuário:data:hora:IP_origem:IP_NAT:IP_destino:URL_destino:Protocolo_destino:Informações_Adicionais

Onde:

  • nome_usuário identifica o usuário de maneira única (normalmente seu login);
  • data e hora são auto-explicativos;
  • IP_origem é o IP pelo qual o usuário se conectou ao servidor;
  • IP_NAT é o IP pelo qual o usuário foi enxergado por outros servidores da internet, por meio de Tradução de Endereços de Rede (Network Address Table), técnica muito usada atualmente;
  • IP_destino é o IP de destino do servidor;
  • URL_destino é a URL do destino do servidor completa, incluindo pastas, subpastas e nomes de arquivo;
  • Protocolo_destino indica o tipo de protocolo utilizado na comunicação e, muitas vezes, o tipo de serviço de Internet utilizado (HTTP, BitTorrent, FTP, SSH, etc…);
  • Informações_adicionais são exatamente isso: informações adicionais para cada tipo de protocolo. Essas informações podem variar conforme o protocolo e portanto não são tão relevantes assim;

A formatação dos registros foi escolhida de um modo que gere logs que são facilmente parseados (analisados) por ferramentas razoavelmente simples de extrações de dados, encontradas em quaisquer instalações de servidores, além de permitir campos de tamanho variável, o que permite o registro adequado e sem limitações das informações trafegadas.
Parece simples, OK? Agora vem a pegadinha:
Imaginemos um provedor razoavelmente pequeno (com uns 100 usuários simultâneos). Por sua vez, imaginemos que cada registro de conexão IP tenha algo em torno de 2KBytes (2048 Bytes) e que cada usuário faça em torno de 100 chamadas IPs por segundo (parece muito, mas pode significar 100 emails baixados, ou 10 páginas acessadas com 9 fotos em cada uma). OK:

  • um único usuário gera 200K de logs por segundo.
  • Multiplicando isso por 60 segundos, temos 12000K por minuto (12MB aproximadamente).
  • Multipliquemos novamente por 60 para gerar o total por hora e teremos 720MB por hora (ou seja, mais de um CD).
  • Multiplicamos agora por 24 para o dia, alcançamos 17280 MB (17GB aproximadamente – ou 4 DVDs);
  • Multiplicando agora por 365 para um ano: 6205 GB (ou algo em torno de 6 Terabytes – trilhões de bytes);
  • E agora multipliquemos por 3 (o número de anos de retenção): chegamos a 18.1 Terabytes de dados!!!. Mesmo que você comprima isso com compressões de alto nível que garantam 50% de compressão (mais que isso pode acontecer, mas é muito difícil), chegamos a um total de 9 Terabytes de dados a serem conservados (o que inclui backups, etc).
  • E isso para apenas um usuário: multiplicando esses valores finais pelo número de usuários, chegamos a um total de 1800 Terabytes (quase 2 Petabytes – quatrilhões de bytes!!!!!!) ou 900 Terabytes (próximo a 1 Petabyte)

Embora possa-se alegar que a gravação de logs em meio óptico e outros meios de backup seja padrão (e realmente o é), temos ainda alguns problemas:

  1. como manipular essa massa gigantesca de informação? Mesmo sabendo o período no qual o crime ocorreu, como identificar as transações ilícitas (o que é o objetivo de manter-se tais logs) em tempo hábil? O processamento de uma massa de dados tão grande demanda muito tempo (pense no Imposto de Renda que, embora tenha 20K, é entregue por vários milhões de pessoas, e o quanto demora para que o mesmo seja processado e as restituições liberadas e você terá uma compreensão do tamanho do buraco);
  2. Como armazenar essa massa de dados? Mesmo o uso de meios ópticos de grande volume (Bluray, por exemplo), ou de sistemas de SAN (Storage Area Network) seriam complexos e custosos de serem mantidos apenas para esse fim. Além disso, uma boa parte do tempo que seria gasto na análise viria da reconstrução desses dados (que são, por motivos de confiabilidade, “espalhados” no meio físico) para seu formato “original”;
  3. Os custos serão repassados? O usuário terá que pagar para ser espionado? O governo dará subsídios? Quem pagará a conta?
  4. Os logs são confiáveis? Existem milhares de formas simples para “evadir-se” do sistema, por meio de proxies e sistemas similares (no caso do Cicagate eu falei um pouco sobre essas possibilidades). Como rastrear “evasões”? Além disso, como garantir que a pessoa não foi vítima de má-fé de outrem? Ou ele próprio teve sua senha roubada?

Mas isso ainda não é o pior:

O provedor dedo-duro

A legislação em questão, segundo o que o Sérgio Amadeu da Silveira expõe em seu blog,cria a idéia do “provedor dedo-duro”, ou seja, o provedor deverá informar imediatamente à justiça a suspeita de que tenha havido qualquer uso ilegal de sua rede. Conforme a lei diz, e cita o blog em questão:

Blog do Sergio Amadeu: SENADOR CRIA A FIGURA DO PROVEDOR DELATOR

“Art. 22. O responsável pelo provimento de acesso a rede de computadores é obrigado a:
III – informar, maneira sigilosa, à autoridade competente, denúncia da qual tenha tomado conhecimento e que contenha indícios da prática de crime sujeito a acionamento penal público incondicionado, cuja perpetração haja ocorrido no âmbito da rede de computadores sob sua responsabilidade.

§ 2º O responsável citado no caput deste artigo, independentemente do ressarcimento por perdas e danos ao lesado, estará sujeito ao pagamento de multa variável de R$ 2.000,00 (dois mil reais) a R$ 100.000,00 (cem mil reais) a cada requisição, aplicada em dobro em caso de reincidência, que será imposta pela autoridade judicial desatendida, considerando-se a natureza, a gravidade e o prejuízo resultante da infração, assegurada a oportunidade de ampla defesa e contraditório.”
A dúvida aqui é que existe a questão do sigilo na informação da polícia, sem que a pessoa tenha conhecimento de que sua privacidade está sendo violada e que sua navegação está sendo vigiada. Ou seja: mesmo que eu não faça nada ilegal, pelo fato de eu usar algo que possa ser usado para fins ilegais (como, no exemplo mais clássico o uso de redes P2P, como o BitTorrent), eu serei denunciado? Qual será minha chance de defesa? Por não fazer a menor idéia da época em que isso ocorreu, como preparar minha defesa? Ou seja, vemos aí uma séria ofensa a princípios como o da presunção de inocência e o da ampla defesa.
Além disso, existe um custo sério ao provedor que é: como ele irá se comportar?
O provimento de acesso à Internet pressupõe o acesso a todos os serviços que a mesma dispõe, incluindo o de acessar ferramentas como IRC e BitTorrent que, embora tenham usos ilegais, também tem muitos usos legais (muito conteúdo rico, como distribuições de Linux e filmes divulgados em Creative Commons como The Big Buck Bunny, são distribuidos por esses meios). Ou seja: ele irá impedir o uso desses protocolos (violando o contrato com o consumidor)? Irá entregar os usuários desses protocolos (que podem estar fazendo coisas legítimas e serem pegos em um linchamento moral, o que pode acarretar depois um processo contra o provedor)? Irá monitorar o tráfego dos usuários (como mostrado anteriormente, e ainda contando com um potencial ônus moral)?
E outra: como dizer que esses logs não se voltarão contra as pessoas em situações imprevistas (por exemplo, quando o seguro resolver negar o pagamento de um sinistro porque viu que o usuário acessava sites sobre doenças crônicas)? Ou seja: mesmo a navegação segura poderá se tornar perigosa.
Mas acha que acabou? Não! Essa lei ainda tem muito o que piorar!

A Net afetando o que está fora dela

Atualmente, qualquer pessoa pode (como sempre pode) gravar uma fita cassete com aquele CD seu e botar no toca fitas do carro para não perder sua inestimável coleção de Elton John (ou de Calypso, ou de Kraftwerk, ou das músicas do Balão Mágico) e ainda assim poder aproveitar muito o CD que adquiriu com seu dinheiro (em geral suado). O aluno pode xerocar pedaços de livros para fazer suas anotações para seu trabalho de TCC ou mesmo copiá-los à mão.
Mas essa lei trata de uma forma diferente o meio cibernético e suas inovações. Citando o Pedro Dória:
Senado aprova projeto nocivo à Internet Agora é a vez da Câmara

Ele transforma em crime o acesso a qualquer apetrecho ou mídia digital que tenha sido protegido. Celular bloqueado pela operadora? Não pode desbloquear sem expressa permissão. CD mesmo comprado que não permite cópia para o computador ou iPod? Mesmo que o indivíduo tenha comprado o disco, será crime.

Ou seja: posso escolher qualquer marca de carro, e qualquer gasolina para o mesmo, mas não posso comprar um celular em uma operadora e o chip em outra. Posso gravar uma fita do meu disco do Kraftwerk, mas nada de Home Computer no meu Computador Pessoal. Posso gravar um VHS do filme que passou na Sessão da Tarde, mas Star Wars no meu MP4 Player? Esqueça!
Ou seja, direitos que nos são dados como válidos acabaram sumindo!

Essa lei é necessária?

Me lembro de, há muitos anos atrás ter ido em uma finada COMDEX. Nessa ida, assisti uma palestra de um delegado da 4ª DIG (Delegacia de Investigações) do DEIC de São Paulo, especializada em crimes cibernéticos. Em uma época onde os conhecimentos e informações sobre a informática forense (ou seja, especializada no estudo de crimes cibernéticos) era pouco e disperso, ele falou algo que me deixou pensativo: “o anonimato na Internet não existe! Você consegue rastrear qualquer pessoa em qualquer lugar, basta saber o caminho das pedras.
Hoje, com o conhecimento que existe de Informática Forense, com suas várias técnicas de rastreamento de informações, cruzamento de informações de logs, fingerprint, reconstrução de dados apagados e por aí afora, é possível ao menos (diria eu) em 90% dos casos pegar-se as pessoas que cometem crimes na Internet, bastando boa intenção por parte da polícia e dos órgãos do Judiciário, sem a menor necessidade de novas legislações, com o uso do que já existe, sem a necessidade de provedores vigilantes e coisas do gênero. Basta apenas a correta eficiência e o uso do que a lei já oferece.
Essa legislação é perigosa para a privacidade do cidadão brasileiro. Ela é perigosa para o próprio princípio de liberdade de expressão. Pode provocar um pré-julgamento de pessoas apenas por terem falado coisas que vão contra os interesses de grandes poderes. Não respeita os direitos do cidadão. Está transformando o Brasil no Big Brother (o do 1984).
Pretendo ainda falar mais sobre isso, mas até lá, vou deixar alguns links. Leiam e reflitam:
http://observatorio.ultimosegundo.ig.com.br/blogs.asp?id={A6B7472E-99F8-4A56-87AD-620A557AA6C7}&id_blog=2
http://pedrodoria.com.br/2008/07/10/senado-aprova-projeto-nocivo-a-internet-agora-e-a-vez-da-camara/
http://samadeu.blogspot.com/search/label/contra%20PLC%20do%20Azeredo
http://www1.folha.uol.com.br/folha/informatica/ult124u420911.shtml
http://br-linux.org/2008/ja-era-senado-aprova-projeto-de-lei-da-internet-todos-os-acessos-deverao-ser-arquivados-no-provedor-por-3-anos/
http://www.cic.unb.br/docentes/pedro/trabs/nervosismo.html
http://www.softwarelivre.org/news/11765
http://info.abril.com.br/aberto/infonews/072008/10072008-12.shl
http://renata.org/post/comunicado-importante/
http://www.navegantes.org/index/2008/07/10/projeto-de-crimes-na-internet-passou-no-
http://www.softwarelivre.org/news/11746
http://www.fsfla.org/svnwiki/blogs/lxo/2008-07-04-novos-crimes-absurdos
http://www.fsfla.org/svnwiki/blogs/lxo/2008-07-01-do-celular-direto-pra-cela
http://www.softwarelivre.org/news/11759
http://vitorpamplona.com/wiki/Lei%20PLC%2089/03
http://www.nardol.org/2008/7/5/o-desafio-da-intangibilidade
http://fsfla.org/svnwiki/blogs/lxo/2008-07-02-navegando-pro-xadrez.pt
http://googlediscovery.com/2008/07/07/carta-aberta-em-defesa-da-liberdade-e-do-progresso-do-conhecimento-na-internet-brasileira/
http://www.navegantes.org/index/2008/07/08/o-projeto-de-lei-de-crimes-na-internet-e
http://a2kbrasil.org.br/Projetos-de-lei-transformam-em
http://www1.folha.uol.com.br/folha/informatica/ult124u420911.shtml

Sobre Fábio Emilio Costa
Linux, Free Software, EMACS, Rugby, Indycar, Doctor Who, Harry Potter... Yep, this is me!

2 Responses to Lei de Crimes na Internet: Inútil e Perigosa

  1. Pingback: Blogagem Coletiva - Não ao Projeto de Lei de Censura à Internet « Linux… e mais coisas

  2. Pingback: Campus Party 2009 - Resumo da Ópera (Longo) « Linux… e mais coisas

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s