23°C 16°/ 24°
Internet

Nova lei sobre cibersegurança: PJ quer continuar a investigar “hackers éticos”

14 Comentários

Como temos vindo a informar, encontra-se neste momento em Portugal, em consulta pública, a proposta da nova lei sobre cibersegurança. Nessa proposta existe a referência para aditar o artigo 8ªA na Lei do CiberCrime. Saiba o que diz a PJ sobre o assunto.

Nova lei sobre cibersegurança: PJ quer continuar a investigar "hackers éticos"


Hackers éticos : PJ defende investigação e até a divulgação e exposição dos autores

Em traços gerais, o artigo 8ªA na Lei do CiberCrime (atos não puníveis por interesse público de cibersegurança) visa “proteger” os hackers éticos, que descobrem vulnerabilidades e as reportam. No entanto, apesar deste artigo, a PJ considera que tal não deve impedir a investigação e divulgação.

Carlos Cabreiro, diretor da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T), identificou alguns desafios e riscos nesta proposta no painel sobre Resposta a Incidentes e Gestão de Crises, no âmbito da conferência sobre Cibersegurança do DN, que decorreu em Lisboa.

Nova lei sobre cibersegurança: PJ quer continuar a investigar "hackers éticos"

No entender da PJ, o facto de não existir punição não deve evitar a investigação e até a divulgação e exposição dos autores, dentro dos princípios da proporcionalidade. Por outro lado, há ainda a dificuldade de interpretar a intenção do autor. Por último, Carlos Cabreiro defende que quem se dedique a essa atividade a título formal ou informal deveria ter uma autorização prévia e fazer parte de um registo nacional.

Do artigo 8ºA, destacar o seguinte:

  • Intenção de contribuir para a cibersegurança
  • Ausência de motivação económica
  • Comunicação imediata das vulnerabilidades encontradas
  • Atuação proporcional e limitada
  • Respeito pela proteção de dados pessoais

Falar em “hacking ético” parece estarmos a falar em duas palavras que não se ligam, mas não é bem assim. Como em tudo na vida, há hackers do mal e também hackers do bem.

O conceito de hacking ético refere-se à prática de testar e avaliar a segurança de sistemas de computador, redes ou aplicações com o objetivo de identificar vulnerabilidades e falhas de segurança.

Autor: Pedro Pinto
Partilhar:
Tags:
Cibersegurança hackers éticos PJ
Califórnia quer adicionar etiquetas de risco para a saúde mental às redes sociais
Artigo anterior

Califórnia quer adicionar etiquetas de risco para a saúde mental às redes sociais
Japão: cientistas desenvolvem tecnologia para transformar luz solar e água em hidrogénio
Próximo artigo

Japão: cientistas desenvolvem tecnologia para transformar luz solar e água em hidrogénio
Também pode gostar
PUB

Comentários

14

Responder a Bakuman Cancelar resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Rodrigo
    Rodrigo

    Para ser legal e ético as entidades envolvidas têm que ser avisadas da janela temporal dos testes de vulnerabilidades com antecedência e concordar com as mesmas pois não tem lógica andar por aí a testar vulnerabilidades sujeitos a interromper serviços com prejuízos para as empresas.

    Por exemplo não basta seres dono de um site e dar o ok para um pentester fazer ataques a plataforma, temos que avisar a empresa do alojamento do servidor e já agora se tiver CDN/WAF como cloudflare a mesma também precisa de ser avisada.

    Responder
    1. Avatar de Aziado
      Aziado

      +1

      Responder
    2. Avatar de Miguel
      Miguel

      Concordo plenamente,
      Depois basta considerar o seguinte..

      Quem é que sente em primeiro lugar, vontade em explorar falhas nos sites ou nos bancos, ou em qualquer lado???
      Vocês sentem necessidade de explorar a fechadura da casa do visinho… á procura de falhas??
      Vocês gastariam o vosso tempo a tentar “proteger” o vosso vizinho??
      Eu só consigo pensar numa possiblidade positiva nisso, e seria o facto do vosso nome ser Jesus Cristo.

      Quem o faz, obviamente que o faz por motivos nefarios, obvio!!

      Se alguém fizer investigação, ou pura e simplesmente o fizerem para melhorar, fazem-no, nos seus ambientes virtuais, maquinas, isolados do resto.
      Porque é que teem que atacar os outros??Eu não vejo ética nenhuma nisso, muito pelo contrário..

      Podem-no fazer porque é esse o trabalho deles, mas nesse caso, a empresa onde trabalham paga-lhe
      para isso, de qualquer forma a o fazerem por autorecriação teem que o fazer nas máquinas deles…OBVIAMENTE.
      Nas máquinas deles podem fazer o que quizer, mas deixem a fechadura da porta do vizinho em paz..

      Em suma, a o fazer, devem reportar as autoridades que o vão fazer, que coisas vão fazer e porquê.
      E aguardar a seguir, que as entidades de segurança deiam o OK, ou não!!

      As vitimas muito provavelmente não querem ser atacadas…certo??

      Responder
      1. Avatar de Fred
        Fred

        Em Portugal temos o hábito de fazer mais do que devemos e nunca fazer aquilo que devemos.
        Para além disso, 50 anos depois, ainda não perdemos os instintos pidescos da ditadura.

        Responder
      2. Avatar de Joao Ptt
        Joao Ptt

        Que belo comentário… é melhor acordarmos todos e descobrir-mos que o sistema da AMA da chave móvel digital foi abusado devido a vulnerabilidades desconhecidas e termos milhões de euros de dívidas para o resto das vidas… ou que algum hacker ético encontre o problema, o relate, e o erro seja corrigido?

        Uma coisa é andarem a tentar entrar na sua casa, outra coisa é tentarem entrar dentro do banco e roubarem todo o dinheiro de toda gente, e já agora roubarem também a seguradora que cobria eventuais situações dessas no banco.

        Quem não compreende o mundo actual vive no mundo da fantasia ao comparar coisas sem comparação, como comparar sistemas que podem servir milhares ou mesmo milhões de pessoas, com a fechadura da casa de alguém.

        Responder
        1. Avatar de Nuno M
          Nuno M

          Foi dado o examplo da fechadura de uma casa, como uma forma de mostrar que algo de errado se passa com alguém que decide explorar a fechadura duma casa que não é sua..

          Se isso já é crime, e é muito grave, os bancos, as intituições publicas, é ainda mais grave.
          Portanto o comentário do Miguel acima está correcto.

          Qualquer individuo que tenha uma actividade na qual tenha que “explorar” actividade alheia, obviamente que tem que estar registrado numa base de dados, e em caso de não ter permissões para o fazer, então tem que ser convidado ao chadrez.
          E não é apenas suficiente ter a aprovação da vitima, mas também ter a aprovação das Agências de Autoridade, obviamente.

          Já imaginaram se esse artista, decide tirar partido dessa mesma “exploração” da fechadura do vizinho??
          Tem que haver um registro, e nesse registro, deve constar, o parecer da vitima depois da análise a essa exploração.
          Foram roubadas coisas??Se a vitima disser que não lhe roubaram nada, então esse artista está elibado..

          É a mesma coisa com bancos, agencias de seguros, seguradoras, empresas de transporte de valores,etc…as pessoas que lá trabalham, as coisas são registadas.
          Todas as operações,etc, e essas pessoas antes de irem para lá trabalhar, é feita uma investigação, para ver se essa pessoa tem “tiques exploratórios”..

          Em relação a AMA, já todos sabemos que o nivel de corrupção em Portugal, vai desde o topo até ao homem do lixo, isso não é novidade nenhuma.
          São tachos, eles não são mais competentes por trabalharem lá, muito pelo contrário.
          Não espere que um utilizador envie errors que encontra, e esses mesmos sejam corrigidos pela AMA.

          Responder
          1. Avatar de Cláudio
            Cláudio

            Infelizmente nesta questão de segurança as coisas não são tão binárias. Por exemplo, se esta regra estivesse em vigor nos EUA, a falha de segurança que foi descoberta e reportada por um miúdo de 15 anos no software ZenDesk e que afetava algumas das maiores empresas mundiais possivelmente iria continuar sem ser resolvida durante muito mais tempo. E se um miúdo de 15 anos conseguiu descobrir esta falha, certamente agentes maliciosos com muito mais experiência não teriam problema em fazer o mesmo e com um impato muito mais destrutivo. Assim, possivelmente este miúdo terá o seu futuro garantido no hacking ético e o software ficou mais seguro, algo com esta a alteração proposta pela PSP possivelmente não iria acontecer.

            Acho que não se deve criminalizar o interesse em aprender ou se alguém quiser dedicar o seu tempo livre a contribuir para a segurança de todos. Penso que as próprias empresas já perceberam isso e este é o motivo pelo qual muitas delas oferecem recompensas pelas falhas que são identificadas nas suas soluções.

            A proposta da PSP iria apenas fechar o âmbito das avaliações de segurança a empresas especializadas (algo que a legislação proposta já contempla para auditorias mais aprofundadas), quando o objetivo da legislação é tornar o software mais seguro pela descoberta do maior número possível de falhas, independentemente da sua origem.

            Esta proposta de alteração apenas iria impedir que uma parte dos utilizadores conseguisse testar a fechadura, enquanto não teria qualquer impato real para os agentes maliciosos de outras partes do mundo para a qual a existência desta base de dados não teria qualquer resultado prático.

            Pessoalmente eu prefiro conhecer as falhas que a segurança da minha fechadura tem e ter oportunidade de as corrigir, do que dizer que ninguém pode testar a segurança da fechadura sob pena de serem perseguidos criminalmente (mesmo porque neste momento as fechaduras já estão constantemente a ser atacadas e esta alteração não vai alterar este cenário significativamente – a não ser alguns miúdos verem o seu acesso ao serviço bloqueado de forma automática por terem caído num honeypot qualquer).

  2. Avatar de Aziado
    Aziado

    Mesmo para fazer o hacking ético a nível empresarial, deverá ser requerida a autorização da respetiva administração. Ou pelo menos a mesma deverá ser informada, do que está a ser feito.

    Responder
  3. Avatar de Bakuman
    Bakuman

    Oopsss

    Responder
  4. Avatar de manbarull
    manbarull

    Geralmente esses individuos estão identificados, logo é mais fácil fazer a investigação. Desde que não se esqueçam ou façam por esquecer os outros. Quem não deve não teme.

    Responder
  5. Avatar de Um gajo sério
    Um gajo sério

    Lamento mas não posso concordar.
    Vocês estão a ver a atividade de “hacking ético” apenas na perspetiva comercial e esquecem que para isso já existem centenas ou milhares de empresas em todo o mundo. São as empresas chamadas de “consultores” que são pagas a peso de ouro para dar o OK às redes/sistemas informáticos de empresas.
    O “hacking ético” é outra coisa e tem mercado, talvez não em Portugal mas em vários países são requisitados e muitas vezes incentivados não só pelas grandes empresas mas também pelos governos para fazerem testes ao seu software antes de o mesmo ser distribuído ou logo após a sua divulgação.
    Existe ainda a necessidade de os próprios governos recorrerem a estes serviços, não só para garantirem a qualidade dos seus sistemas mas também para se defenderem e/ou atacarem outros países. Faz parte da relação entre países
    Vejam o caso dos EUA, China, Rússia, Israel, Inglaterra só para mencionar os que estão na “berra”.
    Nestes países, este tipo de pessoas, especialmente dotadas em sistemas, são altamente procurados e acarinhados porque sabem que deles depende a segurança e/ou sucesso do seu país não só na defesa como também na espionagem comercial e industrial de outros países. Custa a aceitar mas todos sabemos que todos os países o fazem e os que não o fazem são vítimas dos que o fazem.
    Toda a gente fica admirada como é que determinado país consegue impedir/sabotar o uso de sistemas como por exemplo o GPS e com isso infligir vários tipos de danos em armamento que era suposto ser imune a esse tipo de ataques.
    Claro que isto só se consegue através de exploração de falhas no software utilizado.
    Neste artigo o que me intriga é a PJ querer publicitar a sua atividade e mesmo promover a divulgação e exposição dos autores.
    Noutros países seriam imediatamente “convidados” a integrar as equipes dos seus serviços, a bem ou a mal.

    Responder
  6. Avatar de Cláudio
    Cláudio

    A proposta de lei relativamente a este assunto parece-me ser bastante sensata pois define muito bem o âmbito em que alguém pode fazer estas pesquisas de vulnerabilidades. Por exemplo não permite ataques de negação de serviço, destruição de dados ou disrupção do serviço. O objetivo da proposta é recolher informações sobre vulnerabilidades para assumir uma atitude proactiva relativamente à segurança e não fazer uma base de dados de whitehackers para facilitar a investigação policial. Com a corrupção e as mafias envolvidas neste meio do cibercrime é muito arriscado para estes especialistas verem os seus dados pessoais associados a uma base de dados centralizada.

    Responder
    1. Avatar de Aziado
      Aziado

      +1000

      Responder
  7. Avatar de Sinopse
    Sinopse

    Nestes casos “éticos” não deve ser usada a palavra hacker, estão a querer branquear aqui qq coisa. Quem tem a preocupação e gosta de encontrar vulnerabilidades em software deve ter uma atividade profissional (bem) remunerada para esse fim, seja por conta própria ou de outrem.

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.