Arquivo mensais:agosto 2012

CERT.br divulga fascículo sobre segurança em redes sociais

Publicado  em: www.nic.br

Material pode ser usado em palestras, treinamentos ou sala de aula

O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br),  do Núcleo de Informação e Coordenação do Ponto BR (NIC.br), lança um conjunto composto por fascículo e slides com dicas de segurança em redes sociais.

Incentivo à divulgação
Assim como a Cartilha completa, o fascículo é ilustrado e está disponível também em formato PDF. Para facilitar a discussão do assunto o material é acompanhado por slides, licenciados sob Creative Commons (CC BY-NC-SA 3.0), e pode ser usado livremente para divulgar sugestões e boas práticas.

O CERT.br busca mobilizar escolas, educadores e pessoas interessadas para que divulguem o material entre crianças e adolescentes.  Esse público é parte da audiência dos sítios de redes sociais e é importante que seja orientado para  fazer o melhor uso das ferramentas, sem colocar em risco a privacidade e a segurança.

De acordo com Miriam von Zuben, Analista de Segurança do CERT.br, “O acesso às redes sociais faz parte do cotidiano de grande parte da população e, para usufruir plenamente delas, é muito importante que os usuários estejam cientes dos riscos que elas podem representar e possam, assim, tomar medidas preventivas para evitá-los”, completa.

Miriam lembra que no dia 3 de setembro, às 10h, o CERT.br realizará uma palestra sobre redes sociais na Universidade de São Paulo durante a SIPAT – Semana Interna de Prevenção de Acidentes do Trabalho. Com isso, pretende-se alertar os presentes sobre a importância de cuidar de sua privacidade e reputação, também nas redes sociais. O evento será transmitido via Internet no endereço http://iptv.usp.br/portal/InfosEvento.do?_EntityIdentifierEvento=usp41ph8fiR-rRsaoif-h3v0LiAYrQp1QxxxXv4rDfsmo0.&.

Para tornar a leitura da Cartilha mais agradável em dispositivos móveis, como tablets e smartphones, ela está sendo lançada no formato ePub. O material está disponível em http://cartilha.cert.br/livro/.

Conheça  o Fascículo sobre redes sociais em: http://cartilha.cert.br/fasciculos/,  e para ter acesso à cartilha visite http://cartilha.cert.br/.

Sobre o CERT.br
O CERT.br é o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Desde 1997, o grupo é responsável por tratar incidentes de segurança envolvendo redes conectadas à Internet no Brasil. O Centro também desenvolve atividades de análise de tendências, treinamento e conscientização, com o objetivo de aumentar os níveis de segurança e de capacidade de tratamento de incidentes no Brasil. Mais informações em http://www.cert.br/.

Sobre o Núcleo de Informação e Coordenação do Ponto BR – NIC.br
O Núcleo de Informação e Coordenação do Ponto BR – NIC.br (http://www.nic.br/) é uma entidade civil, sem fins lucrativos, que implementa as decisões e projetos do Comitê Gestor da Internet no Brasil. São atividades permanentes do NIC.br coordenar o registro de nomes de domínio — Registro.br (http://www.registro.br/), estudar, responder e tratar incidentes de segurança no Brasil – CERT.br (http://www.cert.br/), estudar e pesquisar tecnologias de redes e operações — CEPTRO.br (http://www.ceptro.br/), produzir indicadores sobre as tecnologias da informação e da comunicação — Cetic.br (http://www.cetic.br/) e abrigar o escritório do W3C no Brasil (http://www.w3c.br/).

Anatel e UIT abrem consultas para a Conferência Mundial de Telecomunicações: como participar?

A Conferência Mundial de Telecomunicações Internacionais (CMTI ou WCIT na sigla em inglês), acontecerá de 3 a 14 de dezembro de 2012 e será promovida pela União Internacional das Telecomunicações (ITU), uma das organizações que fazem parte do sistema ONU. O objetivo principal da conferência é modernizar os Regulamentos Internacionais de Telecomunicações (ITRs), vigentes desde 1988 (mais informações e documentos de base oficiais podem encontrados aqui). As propostas dos Estados e organizações membros da UIT para a CMTI abordam temas como: direito humano de acesso às comunicações, segurança no uso de TICs, cobrança, qualidade do serviço e convergência, que dizem respeito, de forma muito concreta, à vida de todos os usuários.

A inédita abertura de consulta pública pela UIT:

O processo preparatório para a CMTI despertou grande interesse, não só pelo tema central da conferência, por si só de grande importância, mas também porque algumas das propostas apresentadas pelos países-membros implicam em um alargamento das atribuições da UIT, sobretudo na direção de temas que não dizem respeito à infraestrutura de telecomunicações, mas sim às camadas de funcionamento da Internet. A busca da sociedade por mais informação sobre o processo esbarrou, inicialmente, nos métodos de trabalho da UIT, de matriz marcadamente intergovernamental, e ainda pouco abertos e transparentes.

Pressionados pela opinião pública, os atores decidiram divulgar o documento “Projeto do futuro dos ITRs” ou  “Draft of the future of the ITRs”, que consolida as principais propostas de modificação dos ITRs. Esse foi um passo importante para a abertura do processo, ainda que não seja possível, nesse documento, identificar facilmente os autores das propostas e a natureza das divergências, algo essencial para uma avaliação política sobre o suporte que eventualmente irão angariar.

Além disso, a UIT também deu início a uma consulta pública de amplitude sem precedentes na história da organização, na qual os interessados podem apresentar comentários sobre o ITRs diretamente à UIT. O prazo para esta consulta pública se encerrará no dia 3 de novembro. Não está clara a forma pela qual as contribuições serão incluídas no processo, ou que peso político lhes será atribuído, mas os Estados foram convidados a “considerar e, se for o caso, ter em conta o conteúdo das propostas apresentadas em seus preparativos para a WCIT 12”.

A participação do governo brasileiro na CMTI:

De acordo com o art. 19 da Lei Geral de telecomunicações (LGT), cabe à Agência Nacional de Telecomunicações (Anatel) representar o Brasil nos organismos internacionais de telecomunicações, sob coordenação do poder Executivo.

No dia 15 de agosto, a Anatel realizou a VI reunião preparatória para a CMTI, em Brasília, com a participação dos setores interessados. Nela foram apresentados o atual estado do processo conduzido pela UIT e a forma de trabalho a ser seguida internamente, no processo de formulação da posição brasileira. Nas reuniões preparatórias previstas pela Anatel haverá grupos relatores que espelham a forma como os temas serão abordados durante a conferência, separados em aspectos estratégicos, jurídicos, econômicos e técnicos. Informações detalhadas sobre os assuntos que serão discutidos em cada um desses eixos, bem como sobre a metodologia de trabalho que será seguida durante o processo podem ser encontrados no Plano de Trabalho divulgado pela Anatel e na seção dedicada à CMTI em seu site.

Os interessados em contribuir com o processo de elaboração da posição do Brasil na CMTI podem fazê-lo por meio do e-mail cbc1@anatel.gov.br, até 3 de outubro de 2012, ou participar das reuniões presenciais na Anatel, cujo calendário encontra-se abaixo.

É interessante frisar que os países americanos vêm buscando coordenar as suas posições, com o objetivo de ter uma participação coesa na CMTI. O Brasil tem levado as suas propostas para a discussão nos âmbitos do Mercosul e do Comitê Interamericano de Telecomunicações (CITEL), para eventual endosso e apresentação como proposta regional.

Comentários sobre temas polêmicos que serão discutido na CMTI:

Os participantes na 6a reunião de consulta preparatória para a CMTI compartilharam com a Anatel seus receios acerca de temas que têm causado polêmica no processo preparatório, como aqueles relacionados a segurança e a mudanças no modelo econômico de cobrança pelo tráfego na Internet. Comentou-se, particularmente, a proposta apresentada pela ETNO, mencionada anteriormente pelo Observatório da Internet e avaliada como inadequada por diversos atores, como a ISOC. Recentemente, a ETNO procurou se reunir “a portas fechadas” com atores privados e com o governo brasileiro, buscando apoio para a sua proposta. Questionada sobre o evento, a Anatel informou que o governo brasileiro decidiu não participar dessa reunião e não endossa a proposta, apesar de estar disposto a estudá-la e entender em profundidade as suas implicações.

Discutiu-se ainda na reunião algumas propostas sobre segurança, como a apresentada pela Rússia, de natureza extremamente ampla, que autoriza restrição ao acesso a serviços de telecomunicações em casos em que esteja havendo uma interferência em assuntos nacionais, ameaça a segurança nacional ou divulgação de informações sensíveis, dentre outros casos. A Anatel comentou que, tradicionalmente, a posição do governo brasileiro tem sido a de que a UIT não é o fórum pertinente para tratar dos temas de segurança e defesa. Acredita-se que propostas como essa não sejam capazes de angariar o apoio necessário para serem aprovadas na CMTI, e, por conseguinte, seriam de pouco efeito prático.

Ainda que as chances de aprovação sejam reduzidas e apesar do fato de que o texto vago dificultaria sua implementação, caso fossem aprovadas, essas propostas estão longe de ser irrelevantes. Há disputas sendo travadas em outros espaços e acordos internacionais sendo gestados que poderiam se beneficiar com o avanço tático proporcionado pela discussão desse tema na UIT. A Rússia, por exemplo, vem tentando entabular negociações sobre um tratado sobre cibersegurança há alguns anos e propôs, com apoio de China, Uzbequistão e Tadjiquistão um código de conduta no âmbito da ONU visando prevenir o uso das tecnologias da informação e comunicação para fins que sejam incompatíveis com a estabilidade e a segurança internacionais, cujos termos colidem com o respeito à liberdade de expressão e comunicação. O afeito de retroalimentação desse tema decorrente da sua discussão em diversos fóruns paralelamente, e seu fortalecimento na agenda internacional não podem ser desprezados.

Calendário preliminar de reuniões:

As Reuniões Plenárias de preparação brasileira para a CMTI serão realizadas mensalmente na sede da Anatel. Estas reuniões terão o objetivo de promover o diálogo e o nivelamento das informações:

Serão realizadas também reuniões periódicas de coordenação da Comissão e de seus relatores. Estas reuniões terão o objetivo de definir as estratégias de preparação para a CMTI-12 e de elaboração de contribuições.

Como participar?

Diretamente na UIT : http://www.itu.int/en/wcit-12/Pages/public.aspx até 3 de novembro

Junto à Anatel : http://www.anatel.gov.br/cmti12 até 3 de outubro

Filtragem da Internet na India – uma análise do Centre for Internet and Society

Na última semana,  o Governo Indiano bloqueou cerca de 300 webistes/páginas da web, como Twitter, Facebook e Youtube, com rumores de comunalismo (incitação a violência sobre estereótipos de minorias religiosas). Os rumores de ataques e conflitos a minorias religiosas atingiu tamanha proporção fazendo aproximadamente 30 mil se deslocarem em 3 dias, em Bangalore, contabilizando 300 mil desde julho em diversas localidades.

A polícia indiana identificou como principal fonte de compartilhamento dos rumores SMS e MMS. Após solicitarem a remoção de conteúdos suspeitos de Facebook, Twitter e Google, a polícia solicitou a remoção de conteúdo de diversos outros pequenos provedores.

Pranesh Prakash do Centre for Internet and Society (CIS) da India fez uma análise preliminar de sites bloqueados na India, a partir de acesso não oficial ao documento do Governo Indiano. O documento apresenta bloqueios de sites por diversos conteúdos e esta primeira edição abrangiu os temas de “comunalismo religioso” e “conflito”.

O Observatório da Internet traduziu a análise, que pode ser lida a seguir.

“Análise de Sites Bloqueados – Edição 1: Comunalismo Religioso e Protesto”

Por Pranesh Prakash

Quantos ítens foram bloqueados?

Há um total de 309 ítens específicos bloqueados (URLs, contas de Twitter, imagens, posts de blogs, blogs e inúmeros websites). Este número é insignificante, de certa forma, uma vez que não há diferença entre o bloqueio de um website completo, que contém diversas outras páginas, e o bloqueio de uma página isoladamente. Como, no entanto, poucos websites foram bloqueados pelo seus nomes de domínio, este número ainda pode ser considerado relativamente significante.

É importante ressaltar que as informações obtidas se relacionam às solicitações de bloqueio feitas às companhias de telecomunicação e aos provedores de serviço de internet até 21 de Agosto de 2012. Não tivemos acesso aos dados de bloqueios de serviços individuais de web, o que poderia aumentar consideravelmente este número.

Por que estes conteúdos foram bloqueados?

Até onde podemos determinar, todo o conteúdo bloqueado – principalmente vídeos e imagens – relaciona-se a questões de comunalismo religioso e protesto. (É importante deixar claro que não estamos classificando o conteúdo como comunalista ou que incite protesto, apenas que o conteúdo dos bloqueios relaciona-se a tais questões). Estas retiradas foram realizadas no atual contexto de conflito em Assam, Mumbai, Uttar Pradesh e recentes as movimentações em Bangalore.

Houve indicações de perfis de Twitter sob forma de paródia bloqueados. Uma análise preliminar dos dados disponíveis indicam que perfís de Twitter de paródia ou sátira não foram alvo somente por seu conteúdo satírico. Por exemplo, um perfil paródia muito famoso, o @DrYumYumSingh não está em nenhuma das quatro determinações indicadas pelo Departamento de Telecomunicações (não há qualquer informação se tais perfis paródia estão sendo tratados diretamente com o Twitter ou não, apenas que estão sendo bloqueado pelos provedores de serviço de internet. Relatórios de mídia indicam que 6 perfis foram retirados do ar diretamente pelo Twitter por serem similares ao perfil oficial do Primeiro Ministro).

Os bloqueios são legítimos?

As boas intenções do governo parecem, em minhas estimativas, questionáveis. Mesmo se as intenções forem boas, podem ter havido ilegalidades procedimentais e censura excessiva. Há circunstâncias legítimas em que a liberdade de expressão e comunicação pode ser limitada. A atual situação social e política em Bangalore poderia resultar em uma limitação à liberdade de expressão e comunicação justificável. Portanto, acredito que controles – como limitação temporária de SMS e MMS a um máximo de 5 a cada 15 minutos por um período de 2 dias – poderiam ter contribuido.

No entanto, é incerto dizer se o governo exerceu seus poderes de forma responsável nessas circuntâncias. O bloqueio de vários dos itens constantes da lista são legalmente questionáveis e moralmente contestáveis, mesmo que, em minha opinião, a maioria destes ítens teriam realmente que ser removidos.

Tendo o governo bloqueado tais sites justificando-se na cláusula 69A do Information Technology Act – “poder de emitir recomendações para bloqueio de acesso público a qualquer informação por qualquer meio computadorizado) – os indivíduos e os intermediários que hospedavam tais conteúdos deviam ter sido notificados 48h antes para apresentar resposta (de acordo com a regra 8 do Information Technology Rules de 2009 – Procedures and Safeguard for Blocking for Access of Information by Public). Mesmo se as provisões de emergência (regra 9) tivessem sido alegadas, os bloqueios realizados em 18 de agosto de 2012 deveria ter sido apresentado no “Committee for Examination of Request” (Comitê para Exame de Pedidos) em 20 de agosto de 2012 (i.e., em 48 horas) e o Comitê deveria ter notificado os indivíduos e intermediários que hospedavam o conteúdo.

Mais importante, mesmo que muitos dos ítens desta lista sejam repugnantes e mereçam (em minha opinião) a remoção, obrigar que os provedores de serviço de internet bloqueiem tais conteúdos é altamente ineficaz. Os indivíduos e companhias que hospedaram tais conteúdos deveriam ter sido solicitados na remoção do conteúdo, ao invés de ordenar aos servidores o bloqueio destes. Todos os grandes sites têm claras políticas de remoção de conteúdo e o encorajamento de tensões comunalistas e discurso de ódio geralmente não seriam tolerados nas mesmas. E que esse controle possa ser feito sem recurso ao penoso “Intermediary Guidelines Rules” (aprovados ano passado) demonstra que este documento é desnecessário. Acreditamos, portanto, que “Intermediary Guidelines Rules” são inconstitucionais.

Há erros notáveis?

Existem inúmeros exemplos de erros notáveis.

1. O mais notável foi o bloqueio de rumores falsos de pessoas e posts.

2. Alguns perfis de Twitter bloqueados são pessoas proeminentes que escrevem para a grande mídia e que escrevem sobre o mesmo tema em formatos offline. Se, por isso, seus conteúdos online foram apontados como irregulares, seus conteúdos offline deveriam sofrer o mesmo destino.

3. Grande parte dos links bloqueados incluem artigos publicados e reportagens da grande mídia (incluindo reportagens da Times Now, fotos do jornal Telegraph etc). Somente o conteúdo online parece ter sido alvo de censura.

Há também enúmeros erros e inconsistências que tornam os bloqueios irrazoáveis e ineficientes.

1. Muitos itens não chegam sequer a ser endereços de web (e.g., alguns HTML foram incluídos).

2. Alguns dos itens bloqueados não existiam  (caso de URLs da Wikipedia).

3. Um domínio inteiro foi bloqueado no último domingo, 19, e um post isolado deste mesmo site foi bloqueado na segunda, 20.

4. Em páginas do Facebook, a versão segura (https://facebook.com/…) está listada, enquanto para outras páginas a versão não-segura (http://facebook.com/…) está listada para bloqueio.

5. Para videos do Youtube, a base URL de videos do Youtube está bloqueada, mas para outros a URL com vários parâmetros (como “&related=” parâmetro) está bloqueado. Isso significa que mesmo videos com a denominação “bloqueados” serão acessados.

Analisadas tais considerações, é claro que a lista de sites bloqueados não foi elaborada com o devido cuidado. Apesar da determinação que “somente acima de URLs” podem ser bloqueados e não “o site principal como www.facebook.com, www.youtube.com, www.twitter.com etc” é possível ver que alguns provedores (como a Airtel) excederam em seus bloqueios.

Por que você não publicou a lista completa?

Dado o caráter sensivel das questões, acreditamos que seria precipitado compartilhar a lista completa. No entanto, acreditamos fortemente que transparência deve ser parte integral de censuras. A partir de então, esta análise é uma tentativa de prover a transparência necessária. Temos a intenção de tornar pública a lista completa em breve.

Por que ainda tenho acesso a itens que deviam estar bloqueados?

É preciso ter em mente que pedidos recentes são feitos diariamente, que há diversos erros na lista que tornam o bloqueio difícil de ser aplicado e, ainda, que tais determinações devem ser aplicadas por centenas de provedores. Seu provedor ainda não respeitou as ordens de bloqueio ainda. Quando está análise estava sendo feito, grande parte dos provedores pareciam não ter obedecido ainda as ordens de bloqueio.Esta análise é baseada nas determinações enviadas a provedores e não em um teste real a respeito de quantos bloqueios foram feitos pela Airtel, BSNL, Tata etc. Somado a isso, se você estiver usando Twitter por um cliente (desktop, celular etc) no lugar da interface de web, você não identificará os bloqueios relacionados a conteúdos no Twitter.

Então, você não discorda completamente de censura?

Não. Acredito que em algumas situações o governo tem autoridade legal para censurar. No entanto, o exercício de tal autoridade muitas vezes é improdutivo e, ainda, existem formas mais efetivas que a censura para limitar os resultados adversos gerados pela liberdade de expressão e informação. A limitação da liberdade de expressão pode se provar mais danosa em situações como estas, quando restringe a possibilidade das pessoas de expor rumores falsos.

Em um post separado a ser divulgado em breve eu examino como todas as respostas do governo indiano contém falhas tanto legalmento quanto em relação aos objetivos a serem atingidos.

O que o governo devia ter feito?

Visto que grande parte dos conteúdos que foram alvo das medidas governamentais são do Facebook, Youtube e Twitter, o governo devia ter optado por uma abordagem em parceria com esses serviços, de forma a obter a remoção dos conteúdos de forma eficiente, em vez de lutar contra os conteúdos. (Há indícios que o governo esteja atuando de forma conjunta a esses provedores, mas ainda de forma incipiente).

O governo indiano poderia ter solicitado a aceleração dos mecanismos de reclamação por alguns dias, assegurando que tal serviço ficaria no ar 24×7 e que eles respondessem às reclamações relacionadas a incitamento ao comunalismo e incitamento ao pânico. Tal medida não precisa de autorização prevista em lei, mas sim de uma boa relação pública e um forte interesse do governo em não tratar os provedores de serviço de internet como inimigos.

O governo indiano também poderia ter encorajado o usuários a apontar os conteúdos falsos relacionadas a discurso de ódio (hate speech). Nessas situações, os sites devem prover a assistência adequada às solicitações do governo. Dessa forma, as empresas devem se comunicar melhor com o governo sobre as medidas tomadas para diminuir rumores que induzam pânico ou discurso de ódio (tais medidas devem ser reativas e não proativas, para que a liberdade de expressão não seja limitada). Um exemplo dessa aproxiamção, seria o próprio governo fazer uso de redes sociais para assegurar a população de falsos rumores.