Proponha uma correção, faça uma sugestão
Nova lei sobre cibersegurança: PJ quer continuar a investigar “hackers éticos”
Como temos vindo a informar, encontra-se neste momento em Portugal, em consulta pública, a proposta da nova lei sobre cibersegurança. Nessa proposta existe a referência para aditar o artigo 8ªA na Lei do CiberCrime. Saiba o que diz a PJ sobre o assunto.
Hackers éticos : PJ defende investigação e até a divulgação e exposição dos autores
Em traços gerais, o artigo 8ªA na Lei do CiberCrime (atos não puníveis por interesse público de cibersegurança) visa "proteger" os hackers éticos, que descobrem vulnerabilidades e as reportam. No entanto, apesar deste artigo, a PJ considera que tal não deve impedir a investigação e divulgação.
Carlos Cabreiro, diretor da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T), identificou alguns desafios e riscos nesta proposta no painel sobre Resposta a Incidentes e Gestão de Crises, no âmbito da conferência sobre Cibersegurança do DN, que decorreu em Lisboa.
No entender da PJ, o facto de não existir punição não deve evitar a investigação e até a divulgação e exposição dos autores, dentro dos princípios da proporcionalidade. Por outro lado, há ainda a dificuldade de interpretar a intenção do autor. Por último, Carlos Cabreiro defende que quem se dedique a essa atividade a título formal ou informal deveria ter uma autorização prévia e fazer parte de um registo nacional.
Do artigo 8ºA, destacar o seguinte:
- Intenção de contribuir para a cibersegurança
- Ausência de motivação económica
- Comunicação imediata das vulnerabilidades encontradas
- Atuação proporcional e limitada
- Respeito pela proteção de dados pessoais
Falar em "hacking ético” parece estarmos a falar em duas palavras que não se ligam, mas não é bem assim. Como em tudo na vida, há hackers do mal e também hackers do bem.
O conceito de hacking ético refere-se à prática de testar e avaliar a segurança de sistemas de computador, redes ou aplicações com o objetivo de identificar vulnerabilidades e falhas de segurança.
Loading ...
Para ser legal e ético as entidades envolvidas têm que ser avisadas da janela temporal dos testes de vulnerabilidades com antecedência e concordar com as mesmas pois não tem lógica andar por aí a testar vulnerabilidades sujeitos a interromper serviços com prejuízos para as empresas.
Por exemplo não basta seres dono de um site e dar o ok para um pentester fazer ataques a plataforma, temos que avisar a empresa do alojamento do servidor e já agora se tiver CDN/WAF como cloudflare a mesma também precisa de ser avisada.
+1
Concordo plenamente,
Depois basta considerar o seguinte..
Quem é que sente em primeiro lugar, vontade em explorar falhas nos sites ou nos bancos, ou em qualquer lado???
Vocês sentem necessidade de explorar a fechadura da casa do visinho… á procura de falhas??
Vocês gastariam o vosso tempo a tentar “proteger” o vosso vizinho??
Eu só consigo pensar numa possiblidade positiva nisso, e seria o facto do vosso nome ser Jesus Cristo.
Quem o faz, obviamente que o faz por motivos nefarios, obvio!!
Se alguém fizer investigação, ou pura e simplesmente o fizerem para melhorar, fazem-no, nos seus ambientes virtuais, maquinas, isolados do resto.
Porque é que teem que atacar os outros??Eu não vejo ética nenhuma nisso, muito pelo contrário..
Podem-no fazer porque é esse o trabalho deles, mas nesse caso, a empresa onde trabalham paga-lhe
para isso, de qualquer forma a o fazerem por autorecriação teem que o fazer nas máquinas deles…OBVIAMENTE.
Nas máquinas deles podem fazer o que quizer, mas deixem a fechadura da porta do vizinho em paz..
Em suma, a o fazer, devem reportar as autoridades que o vão fazer, que coisas vão fazer e porquê.
E aguardar a seguir, que as entidades de segurança deiam o OK, ou não!!
As vitimas muito provavelmente não querem ser atacadas…certo??
Em Portugal temos o hábito de fazer mais do que devemos e nunca fazer aquilo que devemos.
Para além disso, 50 anos depois, ainda não perdemos os instintos pidescos da ditadura.
Que belo comentário… é melhor acordarmos todos e descobrir-mos que o sistema da AMA da chave móvel digital foi abusado devido a vulnerabilidades desconhecidas e termos milhões de euros de dívidas para o resto das vidas… ou que algum hacker ético encontre o problema, o relate, e o erro seja corrigido?
Uma coisa é andarem a tentar entrar na sua casa, outra coisa é tentarem entrar dentro do banco e roubarem todo o dinheiro de toda gente, e já agora roubarem também a seguradora que cobria eventuais situações dessas no banco.
Quem não compreende o mundo actual vive no mundo da fantasia ao comparar coisas sem comparação, como comparar sistemas que podem servir milhares ou mesmo milhões de pessoas, com a fechadura da casa de alguém.
Foi dado o examplo da fechadura de uma casa, como uma forma de mostrar que algo de errado se passa com alguém que decide explorar a fechadura duma casa que não é sua..
Se isso já é crime, e é muito grave, os bancos, as intituições publicas, é ainda mais grave.
Portanto o comentário do Miguel acima está correcto.
Qualquer individuo que tenha uma actividade na qual tenha que “explorar” actividade alheia, obviamente que tem que estar registrado numa base de dados, e em caso de não ter permissões para o fazer, então tem que ser convidado ao chadrez.
E não é apenas suficiente ter a aprovação da vitima, mas também ter a aprovação das Agências de Autoridade, obviamente.
Já imaginaram se esse artista, decide tirar partido dessa mesma “exploração” da fechadura do vizinho??
Tem que haver um registro, e nesse registro, deve constar, o parecer da vitima depois da análise a essa exploração.
Foram roubadas coisas??Se a vitima disser que não lhe roubaram nada, então esse artista está elibado..
É a mesma coisa com bancos, agencias de seguros, seguradoras, empresas de transporte de valores,etc…as pessoas que lá trabalham, as coisas são registadas.
Todas as operações,etc, e essas pessoas antes de irem para lá trabalhar, é feita uma investigação, para ver se essa pessoa tem “tiques exploratórios”..
Em relação a AMA, já todos sabemos que o nivel de corrupção em Portugal, vai desde o topo até ao homem do lixo, isso não é novidade nenhuma.
São tachos, eles não são mais competentes por trabalharem lá, muito pelo contrário.
Não espere que um utilizador envie errors que encontra, e esses mesmos sejam corrigidos pela AMA.
Infelizmente nesta questão de segurança as coisas não são tão binárias. Por exemplo, se esta regra estivesse em vigor nos EUA, a falha de segurança que foi descoberta e reportada por um miúdo de 15 anos no software ZenDesk e que afetava algumas das maiores empresas mundiais possivelmente iria continuar sem ser resolvida durante muito mais tempo. E se um miúdo de 15 anos conseguiu descobrir esta falha, certamente agentes maliciosos com muito mais experiência não teriam problema em fazer o mesmo e com um impato muito mais destrutivo. Assim, possivelmente este miúdo terá o seu futuro garantido no hacking ético e o software ficou mais seguro, algo com esta a alteração proposta pela PSP possivelmente não iria acontecer.
Acho que não se deve criminalizar o interesse em aprender ou se alguém quiser dedicar o seu tempo livre a contribuir para a segurança de todos. Penso que as próprias empresas já perceberam isso e este é o motivo pelo qual muitas delas oferecem recompensas pelas falhas que são identificadas nas suas soluções.
A proposta da PSP iria apenas fechar o âmbito das avaliações de segurança a empresas especializadas (algo que a legislação proposta já contempla para auditorias mais aprofundadas), quando o objetivo da legislação é tornar o software mais seguro pela descoberta do maior número possível de falhas, independentemente da sua origem.
Esta proposta de alteração apenas iria impedir que uma parte dos utilizadores conseguisse testar a fechadura, enquanto não teria qualquer impato real para os agentes maliciosos de outras partes do mundo para a qual a existência desta base de dados não teria qualquer resultado prático.
Pessoalmente eu prefiro conhecer as falhas que a segurança da minha fechadura tem e ter oportunidade de as corrigir, do que dizer que ninguém pode testar a segurança da fechadura sob pena de serem perseguidos criminalmente (mesmo porque neste momento as fechaduras já estão constantemente a ser atacadas e esta alteração não vai alterar este cenário significativamente – a não ser alguns miúdos verem o seu acesso ao serviço bloqueado de forma automática por terem caído num honeypot qualquer).
Mesmo para fazer o hacking ético a nível empresarial, deverá ser requerida a autorização da respetiva administração. Ou pelo menos a mesma deverá ser informada, do que está a ser feito.
Oopsss
Geralmente esses individuos estão identificados, logo é mais fácil fazer a investigação. Desde que não se esqueçam ou façam por esquecer os outros. Quem não deve não teme.
Lamento mas não posso concordar.
Vocês estão a ver a atividade de “hacking ético” apenas na perspetiva comercial e esquecem que para isso já existem centenas ou milhares de empresas em todo o mundo. São as empresas chamadas de “consultores” que são pagas a peso de ouro para dar o OK às redes/sistemas informáticos de empresas.
O “hacking ético” é outra coisa e tem mercado, talvez não em Portugal mas em vários países são requisitados e muitas vezes incentivados não só pelas grandes empresas mas também pelos governos para fazerem testes ao seu software antes de o mesmo ser distribuído ou logo após a sua divulgação.
Existe ainda a necessidade de os próprios governos recorrerem a estes serviços, não só para garantirem a qualidade dos seus sistemas mas também para se defenderem e/ou atacarem outros países. Faz parte da relação entre países
Vejam o caso dos EUA, China, Rússia, Israel, Inglaterra só para mencionar os que estão na “berra”.
Nestes países, este tipo de pessoas, especialmente dotadas em sistemas, são altamente procurados e acarinhados porque sabem que deles depende a segurança e/ou sucesso do seu país não só na defesa como também na espionagem comercial e industrial de outros países. Custa a aceitar mas todos sabemos que todos os países o fazem e os que não o fazem são vítimas dos que o fazem.
Toda a gente fica admirada como é que determinado país consegue impedir/sabotar o uso de sistemas como por exemplo o GPS e com isso infligir vários tipos de danos em armamento que era suposto ser imune a esse tipo de ataques.
Claro que isto só se consegue através de exploração de falhas no software utilizado.
Neste artigo o que me intriga é a PJ querer publicitar a sua atividade e mesmo promover a divulgação e exposição dos autores.
Noutros países seriam imediatamente “convidados” a integrar as equipes dos seus serviços, a bem ou a mal.
A proposta de lei relativamente a este assunto parece-me ser bastante sensata pois define muito bem o âmbito em que alguém pode fazer estas pesquisas de vulnerabilidades. Por exemplo não permite ataques de negação de serviço, destruição de dados ou disrupção do serviço. O objetivo da proposta é recolher informações sobre vulnerabilidades para assumir uma atitude proactiva relativamente à segurança e não fazer uma base de dados de whitehackers para facilitar a investigação policial. Com a corrupção e as mafias envolvidas neste meio do cibercrime é muito arriscado para estes especialistas verem os seus dados pessoais associados a uma base de dados centralizada.
+1000
Nestes casos “éticos” não deve ser usada a palavra hacker, estão a querer branquear aqui qq coisa. Quem tem a preocupação e gosta de encontrar vulnerabilidades em software deve ter uma atividade profissional (bem) remunerada para esse fim, seja por conta própria ou de outrem.