proibido fazer "testes de prenetração" ... sem licença

A Polícia Judiciária publicou ontem um comunicado sobre uma apreensão de computadores alegadamente relacionados com "testes de segurança" ilegais -- operação Ghostbuster. Apesar de o comunicado não o referir, um dos telejornais das 20h de ontem disse que a empresa da qual foram apreendidos os computadores foi a que recentemente fez um relatório sobre a penetração da Ghostnet em computadores de organismos do Estado.

O comunicado diz que "os chamados - na gíria da comunidade informática internacional,- "tiger teams" e "white hat hackers" não têm acolhimento legal, sendo, por isso, passíveis de perseguição penal." Sem ser especialista em assuntos jurídicos, parece-me que o que é ilegal é fazer "testes de segurança" sem permissão do organismo ou empresa testada (e bem). Já, por exemplo, o teste de uma empresa por parte de uma tiger team contratada para o efeito pela própria empresa não me parece ser ilegal. Ou pelo menos não devia.

O comunicado da PJ:

Criminalidade informática e de alta tecnologia - Operação "Ghostbuster"

A Policia Judiciária, através da Directoria de Lisboa e Vale do Tejo, desencadeou durante o dia de ontem uma operação em que foram efectuadas buscas simultâneas a quatro residências e a uma empresa, sedeadas na área de Lisboa, tendo por objectivo identificar e recolher elementos probatórios da eventual prática organizada de crimes informáticos de natureza transnacional, designadamente acesso ilegítimo, acesso indevido e dano informático, tendo sido constituídos dois arguidos, que cooperaram com a acção da Justiça.

No decurso da operação foram aprendidos dispositivos electrónicos, dados informáticos e software de cifra e encriptação, bem como outros elementos probatórios que foram preservados e serão sujeitos a posterior análise no âmbito da investigação em curso.

A investigação, que já decorre há já algum tempo, reporta-se a notícias sobre eventuais fragilidades de segurança em redes informáticas do Estado Português e que teriam por base um relatório elaborado por uma empresa que fazia referência à obtenção e à posse de informação sensível de diversos organismos do Estado e empresas privadas, entre os quais o Ministério da Justiça.

Face à sensibilidade e complexidade da matéria em causa, a operação contou com a participação do Juiz de TCIC e dos Procuradores do DCIAP titulares do inquérito, que emitiram as competentes ordens judiciais, visando, não só a preservação da prova, como também a neutralização imediata dos meios que permitiriam a continuação da actividade criminosa.


* A POLÍCIA JUDICIÁRIA ALERTA para o facto de, à luz da legislação vigente, constituir um ilícito criminal punido com pena de prisão qualquer acto de pretenso ou eventual teste de segurança sem consentimento expresso dos titulares e proprietários dos sistemas e das redes informáticas visadas.

Nestas circunstâncias, os chamados - na gíria da comunidade informática internacional,- "tiger teams" e "white hat hackers" não têm acolhimento legal, sendo, por isso, passíveis de perseguição penal.

23 de Outubro de 2009