O direito de acesso a obras digitais

DOM, 09 DE OUTUBRO DE 2011 23:03

O projeto de lei de combate à pirataria online em tramitação no Congresso Americano intitulado “PROTECT Intellectual Property Act” (PIPA), de autoria do Senador Patrick Leahy, e apoiado pela indústria do entretenimento, foi duramente criticado numa carta enviada em Setembro/2011 aos legisladores por mais de 100 empreendedores da área de tecnologia da informação, entre eles os fundadores de empresas como Twitter, LinkedIn, Zynga, Blogger, e Friendster. Se aprovado, o projeto daria novas ferramentas ao Departamento de Justiça e aos detentores de direitos autorais para combater sites “dedicados a atividades infratoras”, incluindo a capacidade de buscar ordens judiciais tomando os nomes de domínio dos sites e exigindo que engenhos de busca, empresas de processamento de transações financeiras e redes de anunciantes os incluam em listas negras.

Muito embora não se opondo ao objetivo principal do PIPA, os signatários se declaram preocupados com o efeito nefasto que a lei poderia causar no ecossistema de inovação da Internet. “Enquanto que o projeto deverá criar incerteza para muitos negócios legítimos e, por sua vez, minar a inovação e a criatividade naqueles serviços, os piratas dedicados que usam e operam sites ‘falsos’ vão simplesmente migrar para plataformas que ocultem suas atividades”.  Uma das maiores preocupações dos empreendedores é o malefício que poderá trazer a startups, pois o PIPA não prevê, como faz o Digital Millennium Copyright Act (1998), a isenção de empresas de veiculação de conteúdo produzido por usuários, sites de processamento de pagamento, empresas da indústria do anúncio online, assim como de ferramentas de localização, da responsabilidade por atos de infração de direitos autorais eventualmente perpetrados por seus usuários. Isso sem falar no grau de imprecisão na definição do que significa um site “dedicado a atividade infratora”.

A carta dos empreendedores conclui chamando a atenção para o fato de que a Internet e as novas tecnologias podem até ser um problema para os criadores, mas, também podem ser a solução: “Introduzir novas armas regulatórias na corrida armamentista contra a pirataria não vai parar a corrida, mas vai garantir que haverá mais danos colaterais no percurso. Há certamente desafios para o sucesso como criador de conteúdo online, mas as oportunidades são muito maiores que os desafios, e a melhor maneira de lidar com esses últimos é criar mais dos primeiros.”

Como diz Larry Downes em seu artigo “Leahy's Protect IP Act: Why Internet content wars will never end” publicado no portal Forbes.com em 16/05/2011, todos concordam que as indústrias de mídia estão no meio da guerra mais importante de suas vidas. Seus negócios se baseiam na lucratividade sobre a distribuição controlada de bens de informação cujas cópias têm um custo marginal que continua caindo e chegando muito próximo de zero. Não obstante, novos aplicativos “matadores” (“killer apps”, em inglês) continuam aparecendo, e cada um deles vem com um novo desafio aos detentores de direitos autorais para manter o controle: BitTorrent, computação em nuvem, YouTube, Limewire, Napster, e Google Books, todos foram considerados os grandes vilões e os principais inimigos até quando surgiu o próximo. No final das contas, tudo indica que o verdadeiro inimigo é a própria Internet: a incrível capacidade da tecnologia digital de reduzir os custos de transação das trocas de informação tem sido implacável com os modelos de negócio, e às vezes com os próprios negócios. O controle sobre cópias parece cada vez mais fugidio, mas a guerra continua: litígio judicial, legislação, processo sobre patentes, marcas, licenças, etc., tudo isso envolvendo, por um lado, entidades representativas da indústria tais como RIAA e MPAA, assim como editoras e jornais, e, por outro lado, os próprios consumidores.

A guerra tecnológica é intensa: se, por um lado, as indústrias de conteúdo criam mecanismos criptográficos e sistemas de gerenciamento de direitos digitais, a Internet oferece ferramentas cada vez mais poderosas de compartilhamento da informação, desde as redes peer-to-peer até tecnologias de jailbreaking que contornam os mais sofisticados controles sobre “cópias” compradas ou alugadas.

Poder-se-ia perguntar, como assim o faz Downes, por que os combatentes nessa guerra estão sempre dispostos a recorrer a táticas cada vez mais incompletas, ineficazes e perigosas, mesmo sabendo que suas chances de ganhar são ínfimas?  O que ocorre é que a Lei é frequentemente o ultimo refúgio de uma indústria em transição: ao invés de mudar para acompanhar a evolução dos tempos no ritmo que a inovação assim o permite, os incumbentes da indústria recorrem a processos judiciais, inicialmente para tentar diminuir o ritmo do progresso, e depois simplesmente para tentar sobreviver. Trata-se de uma decorrência de um inevitável e devastador princípio que Downes, em seu livro “The Laws of Disruption: Harnessing the New Forces that Govern Life and Business in the Digital Age” (Basic Books, 2009), chama de “Lei da Disrupção”, e que explica a resistência à mudança: sistemas sociais, políticos, e econômicos evoluem incrementalmente, enquanto que a tecnologia avança a um ritmo exponencial.

Para a distribuição da informação sob forma de mídia, as poucas porém cruciais leis que protegem e perpetuam a moribunda versão analógica da indústria são as chamadas leis da “propriedade intelectual”. Essas leis garantem os monopólios sobre a distribuição de mídia digital através da imposição de sanções civis ou penais. Nesse sentido, elas apenas criam artificialmente direitos temporários de propriedade sobre criações intangíveis: expressão (copyright), idéias (patente) e de marcas (trademark). Ao tratar a informação como se fosse propriedade, a lei permite que escritores, inventores e os comercializadores definam os termos sob os quais eles vão poder recuperar seus investimentos na criação de novas informações sempre equilibrada pelas necessidades de uma sociedade democrática com vistas a garantir que o acesso às novas informações seja tão livre quanto possível.

Em seu tratado “Access-Right: The Future of Digital Copyright Law” (Oxford University Press, Dezembro 2010), Zohar Efroni examina as relações entre o acesso à informação e a proteção aos direitos autorais com especial ênfase no chamado “mundo da informação digital”. Trata-se de um estudo de temática extremamente atual em torno do acesso e do controle de acesso sob a lei do copyright. Lembrando que, em 1994, John Perry Barlow, fundador de uma das mais atuantes entidades de defesa dos direitos civis na Internet, a Electronic Frontier Foundation, e autor da “Declaração de Independência do Ciberespaço”, já previa a queda da lei do copyright como a conhecemos hoje, Efroni chama a atenção para o fato de que, em sua crítica, Barlow descrevia a lei da propriedade intelectual no ambiente digital online como um navio afundando. Essencialmente, o argumento de Barlow era que os construtos legais tais como a lei do copyright se baseavam na existência de certas condições físicas e limitações que eram predominantes no mundo analógico, mas que não mais existem no ciberespaço. No espaço digital, a informação estaria supostamente liberada das “garrafas” tangíveis nas quais tinham sido trancadas por séculos. Com efeito, a informação está sendo transfigurada para “condições de voltagem fluindo na rede à velocidade da luz, em condições que se pode contemplar de fato, como pixels brilhantes ou sons transmitidos, mas não se pode tocar ou se pode reivindicar propriedade sobre elas no sentido antigo da palavra.” Barlow previa que a proteção dos ativos intelectuais no ambiente em rede seriam baseados muito mais na ética e na tecnologia do que na lei.

O fato é que tomar como base para o copyright o conceito de acesso digital primeiramente demanda uma fundamentação sobre os componentes básicos do controle de acesso proprietário sobre a informação no abstrato. Em seu livro, Efroni faz um extenso levantamento sobre os desenvolvimentos recentes no direito positivo, ao mesmo tempo em que mostra como o construto teórico do direito-de-acesso poderia explicar a lógica por trás desses desenvolvimentos. Em suma, o livro analisa de forma crítica as abordagens existentes à eliminação dos problemas resultantes do desequilíbrio e do excesso de proteção que supostamente deixam os usuários em desvantagem. Ao fim, ao cabo, Efroni defende a necessidade de uma reforma estrutural radical dos aparatos reguladores atualmente vigentes que envolva uma série de mudanças nos modos com que definimos os direitos autorais, e nas maneiras pelas quais esses direitos possam se interrelacionar dentro de um esquema coerente único.

Um projeto de pesquisa em andamento no Centro de Informática da UFPE busca dissecar minuciosamente a teoria proposta por Efroni, com vistas à obtenção de um melhor entendimento da problemática do direito de acesso a obras digitais.

Ruy José Guerra Barretto de Queiroz, Professor Associado, Centro de Informática da UFPE

O roubo de identidade, a personalidade virtual e o gerenciamento da identidade digital

DOM, 02 DE OUTUBRO DE 2011 19:11

Apesar de todos os benefícios que tem trazido à sociedade, a Internet está por trás de uma tendência nada positiva: o crescimento dos crimes de roubo de identidade.

Nos EUA, a Comissão Federal de Comércio (“Federal Trade Commission” - FTC) registrou em suas estatísticas relativas a 2010 mais de 250 mil notificações de roubo de identidade, representando 19 por cento de todas as queixas de consumidores à FTC, tornando o roubo de identidade não apenas o motivo mais freqüente de reclamações, mas também o que mais preocupa os consumidores americanos. A bem da verdade, o roubo de identidade via Internet, em especial, é uma ameaça global, e é apontado como um dos crimes emergentes de maior alcance da atualidade.

Como bem descreve o relatório da McAfee intitulado “Fraude financeira e operações bancárias pela Internet: ameaças e contramedidas” (2009), por François Paget, a identidade de uma pessoa constitui a base de sua personalidade jurídica. Enquanto que no mundo real, essa identidade é definida por seu registro civil, sendo protegida por lei, no mundo virtual, a identidade de uma pessoa tem um alcance bem maior e é menos claramente definida. Alguns dados digitais relacionados à identidade de uma pessoa (como nomes de conta, nomes de usuário e senhas) proporcionam acesso a dados privados. Todos esses identificadores digitais, que, embora possam fazer parte do que se chama de identidade digital, não são considerados elementos da personalidade jurídica de uma pessoa, e são cada vez mais cobiçados por fraudadores que buscam se fazer passar por suas vítimas.

Parece premente a necessidade de se fundamentar um entendimento mais amplo sobre não apenas o fenômeno em si da virtualização da identidade e da personalidade, mas também sobre as técnicas, as metodologias e as ferramentas para se atingir a interoperabilidade entre diferentes soluções de gerenciamento de identidade de modo a fomentar sua adoção ampla e sadia por parte de indivíduos e organizações.

O reconhecimento da pessoa perante a lei se deve em função dos direitos e deveres a ela atribuída, independentemente de se tratar de uma pessoa humana. Em princípio, a pessoa é o sujeito ou a substância legal do qual direitos e deveres são atributos. Certos construtos sociais, tais como as chamadas pessoas jurídicas, são consideradas personalidades legais com estatura para processar e ser processado juridicamente. Conforme a Wikipedia, isso é o que se chama de personalidade corporativa. Porém, pode-se indagar que critérios seriam usados para se determinar a personalidade de entes artificiais “inteligentes”, tais como robôs e avatares.

Desde a “Declaração dos Direitos dos Avatares” emitida por Ralph Koster em 2000, algumas iniciativas têm procurado fomentar a discussão em torno da natureza do sujeito de direito virtual no ambiente dos videogames (tais como Second Life e World of Warcraft), entre elas o seminário “Virtual Liberties: Do Avatars Dream of Civil Rights?”, em 28/01/2008, parte da Série “Philanthropy and Virtual Worlds” apoiada pela MacArthur Foundation.

Por outro lado, os conceitos de personalidade virtual e identidade digital estão intrisecamente ligados a direitos humanos. Conforme estudo de 2007 da OECD intitulado “At a Crossroads: Personhood and Digital Identity in the Information Society” (STI Working Paper 2007/7), é cada vez maior a sensação no ambiente online de que uma sociedade livre e aberta pode não estar tão garantida como se supunha inicialmente com o advento da Web. A falta de controles de identidade no ciberespaço pode deixar a sociedade da informação suscetível a roubo de identidade, um dos crimes mais comuns hoje nos países desenvolvidos, assim como a ataques anônimos de negação de serviço que têm acontecido com uma freqüência cada dia maior. À medida em que tecnologias emergentes trazem a sociedade da informação para território nunca dantes explorado, até mesmo aqueles que enxergam a proteção de dados como o caminho para garantir os bons propósitos estão questionando a adequação das salvaguardas concebidas alguns anos atrás. Justo quando a sociedade se encaminha para um ambiente de informações ubíquas, surge naturalmente a preocupação com o reforço aos princípios que devem nortear as leis e as normas concernentes à proteção de dados pessoais. Mais especificamente, serão os princípios vigentes capazes de proteger os dados mesmo quando essas informações estão fora do controle do indivíduo às quais esses dados dizem respeito? Segundo o documento da OECD, em termos do gerenciamento da identidade, a menos que a lei e a tecnologia sejam concebidos de forma a respeitar certas “Propriedades da Identidade”, não existe proteção de dados; e se não há proteção de dados, não há responsabilização; e se não existe responsabilização, não há confiança.

Buscando avaliar a situação no contexto global, a OECD circulou, em Novembro de 2009, um questionário entre as delegações do Grupo de Trabalho em Segurança da Informação e Privacidade (“Working Party on Information Security and Privacy” - WPISP) com o objetivo de coletar informações sobre as estratégias e políticas nacionais no que diz respeito ao gerenciamento da identidade digital (em inglês, “Identity Management”, IdM). Entre os principais objetivos estava a ilustração e a suplementação do relatório elaborado em 2008-2009 sobre “The Role of Digital Identity Management in the Internet Economy: A Primer for Policymakers “. Era preciso analisar o que havia de comum assim como o que havia de diferente entre as estratégias nacionais para IdM.

Recentemente, num relatório intitulado “National Strategies and Policies for Digital Identity Management in OECD Countries” (OECD Digital Economy Papers, No. 177, 2011) a OECD revela que para a maioria dos países o objetivo primordial para o desenvolvimento de uma estratégia nacional para o gerenciamento da identidade é a implementação do governo eletrônico, ainda que para alguns deles o que mais importa seja estimular a inovação na economia baseada na Internet, tanto de forma explícita como implicitamente. De modo geral, inovação, governo eletrônico e cibersegurança são preocupações fundamentais dos países membros da OECD que responderam ao questionário.

Com vistas a levar os setores público e privado a colaborar no sentido de elevar o nível de confiança associada a identidades de indivíduos, organizações, redes, serviços, e dispositivos envolvidos em transações online, o governo americano, através do staff da Casa Branca, publicou o documento “National Strategy for Trusted Identities in Cyberspace - Enhancing Online Choice, Efficiency, Security, and Privacy” (Abril 2011). Em face das adversidades enfrentadas, por um lado, por indivíduos no sentido de manter uma enorme quantidade de diferentes nomes de usuário e senhas, levando ao sempre perigoso reuso de senhas, e, por outro lado, por empresas no enfrentamento da escalada da complexidade dos esquemas de gerenciamento de dados sigilosos de seus clientes, bem como do aumento das responsabilidades legais e financeiras decorrentes da fraude online, o documento chama a atenção para o fato de que, se há a carência de métodos para autenticar indivíduos de forma confiável,  há também muitas transações na Internet nas quais não há necessidade de identificação e autenticação, ou mesmo a informação necessária é limitada. Ainda assim, é vital manter a capacidade de prover anonimidade e pseudonimidade em determinadas transações de forma a preservar a privacidade de indivíduos e garantir os direitos civis. Ao fim ao cabo, a visão da proposta é a de que indivíduos e organizações possam utilizar soluções de identidade seguras, eficientes, fáceis de usar, e interoperáveis para acessar serviços online, de um modo que promova a confiança, a privacidade, a escolha, e a inovação. Os desafios são muitos, naturalmente.

Segundo Bertino & Takahashi em seu livro “Identity Management: Concepts, Technologies, and Systems” (Artech House, Dezembro 2010), a “identidade digital” pode ser definida como a representação das informações conhecidas sobre um indivíduo ou uma organização específica. Tecnologia de gerenciamento da identidade digital é uma função essencial na personalização e na melhoria da experiência do usuário da rede, propiciando proteção à privacidade, dando suporte à responsabilização em transações e interações, e garantindo o cumprimento dos controles regulatórios.

Conforme a descrição do “The Seventh ACM Workshop on Digital Identity Management” (DIM 2011), há questões cruciais a serem resolvidas para a construção de tecnologias interoperáveis de gerenciamento de identidade digital. Com a crescente multiplicidade de dispositivos de cliente habilitados por identidade – de cartões eletrônicos de identificação, a smartphones, a aparelhos de TV, a tablets e a PC’s, e até serviços de computação em nuvem – o gerenciamento de identidade tem um papel crítico para a segurança e a privacidade como um todo, assim como para o sucesso dos paradigmas emergentes. Gerenciamento de identidade é, na realidade, um esforço interdisciplinar para lidar com a manutenção de identidades durantes seus ciclos de vida, de modo a torná-las disponíveis a serviços de uma maneira segura e com proteção à privacidade. Identidades digitais desempenham papéis cada vez mais importantes à medida em que a sociedade depende mais e mais de serviços na Internet.  Por exemplo, práticas sólidas de gerenciamento de identidade são essenciais para a implementação de serviços de assistência social (e.g., saúde e governo eletrônico), para a viabilização de serviços seguros (e.g., computação em nuvem e software-como-serviço), para a personalização das experiências dos usuários (e.g., e-comércio e entretenimento), e para a interconexão das pessoas através de redes (e.g., redes sociais e comunicações móveis).

Soluções abrangentes para o gerenciamento de identidade digital vão exigir o enfrentamento de grandes e múltiplos desafios para se encontrar a melhor combinação de usabilidade, segurança, e privacidade. Adicionalmente, interoperabilidade é crucial pois um número cada vez maior de soluções de identidade está sendo proposto, usando abordagens diferentes e, muitas vezes, com objetivos bem distintos.  Além do mais, as soluções existentes não são necessariamente interoperáveis ou complementares, e, em alguns casos, se sobrepõem.  Como se isso não fosse o bastante, algumas dessas soluções podem não se compatibilizar bem com os sistemas já existentes que constituem a grande maioria do estado da arte.

Como diz David Birch, organizador do volume “Digital Identity Management” (Ashgate Publishing, 2007), para praticamente toda organização no mundo atual e mais ainda no futuro, seja do setor privado ou do setor público, o gerenciamento de identidade apresenta oportunidades e riscos significativos. Bem gerenciada, a identidade digital permitirá que todos tenham acesso a produtos e serviços que são personalizados conforme suas necessidades e preferências. Porém o bom gerenciamento também significa que as organizações deverão suplantar os significativos obstáculos de segurança, de garantia dos direitos humanos individuais, e da preocupação social com o vigilantismo que poderia inviabilizar o processo.

Ruy José Guerra Barretto de Queiroz, Professor Associado, Centro de Informática da UFPE

Por uma abordagem multidisciplinar para o Cibercrime

TER, 20 DE SETEMBRO DE 2011 23:50

Ainda que o grande público não se dê conta do tamanho e da importância do problema, é cada vez mais grave a ameaça do crime cibernético (ou cibercrime) às estruturas da sociedade contemporânea. Todos os dias, bilhões de mensagens enganadoras denominadas “phishing emails” atingem os computadores pessoais trazendo malware, programas exploradores de vulnerabilidades em sistemas digitais roubam dados de clientes armazenados em websites de empresas, acusações de ciberespionagem abundam, e diversos países se vêem perplexos diante de eventos de invasão de seus bancos de dados confidenciais às vezes com características de atos de guerra.

No Prefácio do volume “Cybercrimes: A Multidisciplinary Analysis” (Springer, 2011) que publicaram recentemente como organizadores, S. Ghosh & E. Turrini começam indagando o que há de tão importante no cibercrime. Seria apenas mais um tipo de crime tais como os crimes violentos ou financeiros? A resposta, segundo eles, seria tanto sim quanto não. Num certo sentido, o cibercrime é um crime como outro qualquer, pois é uma violação de uma lei criminal. Mas, por outro lado, três seriam as justificativas para não considerá-lo como um crime comum. Primeiramente, um único cibercriminoso de posse de apenas um computador, com o conhecimento apropriado e acesso à Internet, pode causar imenso dano social que antes era considerado imposssível. Depois, o potencial danoso do cibercrime aumenta a cada segundo todo dia, na medida em que as tecnologias de computação se tornam mais ubíquas. E, por último, mas não menos importante, cibercriminosos são frequentemente mais difíceis de apreender do que criminosos tradicionais, tornando a aplicação das leis do cibercrime ainda menos eficaz na prevenção do crime do que a aplicação das leis criminais em geral.

Três são os pilares sobre os quais se fundamentam as contribuições para o livro. O primeiro é que o cibercrime é uma ameaça social severa. A vulnerabilidade endêmica dos sistemas computacionais, as constantes evoluções na tecnologia da computação, a expansão continuada da computação em nossas vidas, e nossos históricos de exagero de conveniência, tudo se reúne num risco grave para a sociedade. Em segundo lugar, a condenação criminal é importante mas, por si só, não é nem de longe uma resposta à altura da ameaça. E, finalmente, precisamos de uma abordagem multidisciplinar, holística para a prevenção e a mitigação do cibercrime com o foco em três vertentes de ação: elevar o custo do ataque; aumentar o risco do ataque; e reduzir a motivação do ataque.

Em seu livro “Principles of Cybercrime” (Cambridge University Press, 2010) J. Clough adota uma classificação do cibercrime em três categorias: (i) crimes por computador; (2) crimes facilitados pelo computador; e (3) crimes apoiados pelo computador. Tal forma de classificação, ou uma variante dela, tem sido utilizada nos países da Commonwealth tais como Austrália, Canadá, e Reino Unido, assim como em nível internacional. A classificação objetiva, no final das contas, buscar uma resposta à questão se o cibercrime é uma forma inteiramente nova de ofensa, sem qualquer análogo no mundo offline, ou se é simplesmente crime antigo cometido de novas maneiras. O próprio autor assume que sua resposta seria: ambos.

Por outro lado, o receio de que as novas formas de crime acarretem em novas formas de policiamento e novas formas de vigilância, e, em última instância, a novas ameaças às liberdades civis, J. Barkin et al. em “Cybercrime: Digital Cops in a Networked World” (New York Univ Press, 2007) apresentam contribuições em cinco categorias conforme: (i) as novas cenas de crime; (ii) as novas formas de crime; (iii) os novos métodos de aplicação da lei; (iv) as novas formas de vigilância digital e prevenção do crime; e (iv) os novos procedimentos que as cortes e as legislaturas terão que adotar para lidar com as ameaças à segurança na Internet.

Em sua apresentação de um curso na New York Law School intitulado “Cybercrime, Cyberterrorism, and Digital Law Enforcement”, K. A. Taipale chama a atenção para o fato de que a emergência de sociedades modernas baseadas na informação nas quais o exercício do poder econômico, politico e social cada vez mais depende das oportunidades para acessar, manipular, e usar a informação e a infraestrutura de informações tem criado oportunidades para novos crimes e novas ameaças à sociedade civil e à segurança global, assim como para novas respostas para as autoridades responsáveis pela aplicação das leis e pela segurança nacional. O fato é que o mundo interconectado tem dado surgimento a novos crimes e novas respostas, e se faz preciso entender como as tecnologias da informação e da comunicação têm se tornado, ao mesmo tempo, uma ferramenta, um alvo, e um local de atividade criminal e de ameaças à segurança nacional, assim como um mecanismo de resposta.

São muitas as questões que surgem desse cenário: Como as nações regularão a conduta criminal além das fronteiras geográficas e políticas tradicionais? Quais são as expectativas razoáveis de privacidade no ciberespaço? Como o controle está se deslocando dos mecanismos tradicionais da aplicação da lei para novos regimes regulatórios, incluindo tecnologia?

Em seu relatório “Mobilizing For International Action” do “Second Worldwide Cybersecurity Summit”, realizado em 1 e 2 de Junho de 2011 em Londres, o EastWest Institute (EWI) assim descreve sua visão do desafio da cibersegurança: “À medida em que a inovação tecnológica se popularizou, a economia globalizada tem se tornado cada vez mais digitalizada. A cada dia dependemos mais da web e de sua infraestrutura, desde os cabos submarinos que carregam 99% do tráfego intercontinental da Internet até nossos dispositivos móveis. O cibercrime explorando essas tecnologias está em alta, mas os acordos, padrões, políticas e regulações de que precisamos para prover segurança ao ciberespaço vão ficando cada vez mais para trás. De modo a rastrear cibercriminosos, proteger usuários da Internet e garantir a segurança da infraestrutura crítica, temos que lidar com a crescente lacuna entre a tecnologia e nossos controles sobre ela. Prover segurança ao ciberespaço é um desafio global – desses que não podem ser resolvidos por uma única empresa ou país sozinho.” Foi justamente motivado por esse cenário que o EWI formou o Cyber40, uma coalizão de representantes dos países mais bem servidos em termos de tecnologia digital para trabalhar no sentido de formatar as “regras da estrada” para o tratamento de ciberconflitos e cibercrimes através da cooperação internacional.

Além da participação de representantes de 43 países, entre eles líderes da indústria de tecnologia da informação e da comunicação, embaixadores e autoridades da área de defesa de vários países tanto do Ocidente quanto do Oriente, o encontro de Londres contou com a participação do jornalista inglês Misha Glenny, mais conhecido por seu livro sobre o crime organizado internacional “McMafia: A Journey Through the Global Criminal Underworld” (Vintage, 2008), autor também de um livro a ser publicado sobre o submundo do cibercrime: “DarkMarket: Cyberthieves, Cybercops and You” (Knopf , Outubro 2011). Em sua palestra “The Nexus of Cyber Crime, Espionage and Cyber Warfare”, Glenny argumenta que, apesar dos investimentos multibilionários em cibersegurança, um de seus principais problemas tem sido amplamente ignorado: quem são aquelas pessoas que escrevem os códigos maliciosos? O fato é que, apesar da ampla disponibilidade de kits de “faça você mesmo ataques cibernéticos”, a participação dos especialistas no assunto, isto é, os hackers, é fundamental para o sucesso das operações. Segundo Glenny, o que ocorre, no entanto, é que, apesar do hacker ser elemento absolutamente essencial, eles são apenas um elemento numa empreitada cibercriminosa, e, além de, em grande parte, não terem motivação financeira, não raro se constituem na parte mais vulnerável. Apesar disso, pouco ou nada se faz no sentido de buscar um melhor entendimento sobre o perfil do hacker. Exceção notável, conta Glenny, é o “Hackers Profiling Project” do Institute of Security and Open Methologies (ISECOM) de Torino (Itália) iniciado em Setembro de 2004, com apoio da ONU.

Uma das conclusões até certo ponto surpreendentes a que chega Glenny após um contato direto com diversos personagens marcantes do mundo do cibercrime é a de que há uma alta incidência de hackers com características de autistas ou, em alguns casos, consistentes com a síndrome de Asperger. Segundo  Simon Baron-Cohen, professor de psicopatologia do desenvolvimento na Cambridge University, certas disfunções dos autistas podem se manifestar no universo do hacking e da informática como habilidades espetaculares, tais como ocorre com alguns célebres autistas com excepcionais habilidades matemáticas a exemplo do savant inglês Daniel Tammet. Daí, é preciso encontrar maneiras de oferecer apoio a esses “fuçadores” (significado original de “hackers”) de tanto talento. Como diz Glenny, se confiarmos apenas no sistema jurídico criminal e na ameaça de sentenças punitivas, tal como parece ser a norma no momento, estaremos criando um monstro que não conseguiremos domar.

Ao que tudo indica, a mera aplicação de sanções não vai ser suficiente para minimizar ou mitigar essa ameaça severa que é o cibercrime. É preciso buscar uma melhor fundamentação de uma abordagem multidisciplinar ao problema, e, ao mesmo tempo, desenvolver ferramentas para avaliar a eficácia dos métodos sugeridos no volume organizado por Ghosh & Terrini para cada uma das três vertentes de ação.

Ruy José Guerra Barretto de Queiroz, Professor Associado, Centro de Informática da UFPE

O desafio do combate à fraude de clique

O desafio do combate à fraude de clique

TER, 06 DE SETEMBRO DE 2011 23:46



Um estudo da PwC de 2009 intitulado “Measuring the effectiveness of online advertising” já dizia que nos cinco anos anteriores os recursos alocados à mídia de Internet haviam crescido espetacularmente, prevendo que em 2010 a Internet representaria 16% do gasto total mundial com anúncios, e que os números poderiam atingir 21% nos quatro anos seguintes. Uma das constatações foi a de que esse crescimento estaria sendo significativamente alimentado por ferramentas de busca e de “performance” tais como marketing de afiliados, e-mail, websites de comparação, etc., muito embora o chamado anúncio de display (em inglês, “display advertising”) continuasse a representar uma grande parcela dos orçamentos de propaganda online. Entre as tendências que estariam alimentando esse boom estariam o aumento no uso da web reforçando o papel da Internet não apenas na recomendação como também na preparação dos consumidores para realizar compras e recomendações, e os desenvolvimentos nos formatos e técnicas de propaganda dirigida que acabam ajudando a tornar as campanhas publicitárias mais relevantes e mais comunicativas.

Entre as formas de anúncio online estão os anúncios contextuais em páginas de resultados de engenhos de busca, os banners, anúncios em mídia interativa, anúncios em redes sociais, anúncios intersticiais, anúncios em videogames, anúncios classificados online, redes de anunciantes e marketing por correio eletrônico. Uma das grandes vantagens do anúncio online é sua publicação imediata, além do fato de que o conteúdo não fica limitado por geografia ou por tempo. Por outro lado, a eficiência do anúncio atinge níveis bem superiores às formas mais tradicionais de propaganda pois permite a customização e a interatividade de anúncio,s e a medição mais precisa do seu impacto. Embora não esteja imune às intempéries da economia mundial, o negócio do anúncio online ainda é um dos que mais crescem no momento: para o ano de 2012 a Jupiter Research estima que somente nos EUA o investimento em propaganda online deve atingir a casa dos 34,5 bilhões de dólares.

O fato concreto é que, hoje em dia, anunciar pela Internet é uma das formas mais rentáveis, tanto para pequenas quanto para grandes empresas, de realizar campanhas de marketing com o objetivo de atingir diversos tipos de clientes. Um advertiser de Internet (por exemplo, o eBay) provê os seus anúncios a um representante (por exemplo, o ValueClick), reserva uma determinada quantia de dinheiro e se compromete a pagar uma comissão para determinadas ações dos usuários do serviço do representante, como, por exemplo, clicar em um anúncio, realizar uma compra, ou dar um lance em um leilão. Os publishers de Internet (por exemplo, o MySpace.com), motivados pela comissão paga pelos advertisers, procuram os representantes com o objetivo de contratá-los para exibir os anúncios nas suas páginas Web, e obterem assim uma parte da comissão. O ponto principal desta relação são os representantes, que atuam como mediadores entre os publishers e os advertisers.

Sempre que um usuário da Internet visita a página de um publisher, este usuário é associado a um dos servidores do representante. Este servidor escolhe um conjunto de anúncios e exibe este conjunto na página de publisher, que está sendo exibida para o usuário em seu navegador. Se o usuário clicar no anúncio no site do publisher, esta ação será associada ao servidor do representante (que exibe o anúncio na página do publisher), que salva o clique em um histórico, para cobrança posterior, e direciona o usuário à página do advertiser cujo anúncio foi clicado.

Uma vez que os publishers lucram com os eventos de clique nos anúncios dos advertisers, é possível observar um incentivo para que publishers desonestos aumentem o número de cliques que seus sites geram. Além disso, advertisers desonestos simulam cliques nos anúncios de seus concorrentes com o objetivo de esgotar seus recursos destinados a anúncios e marketing. O mundo da publicidade online rejeita estas práticas, conhecidas como fraude de clique. A fraude de clique resulta em má reputação para os representantes, e há diversos casos de pagamento de multas para advertisers. O fato é que esse tipo de fraude põe em risco toda a indústria de anúncios pela Internet.

A fraude de clique tem sido uma preocupação para representantes de anúncios desde a sua concepção. Os números são difíceis de quantificar; existem diversas formas de se estimar a proporção de cliques falsos, que variam de 10% a 50%. Um estudo amplamente citado da MarketingExperiments.com, uma ferramenta de pesquisa em marketing online, relatou que 29,5% dos cliques em três campanhas experimentais do Google eram fraudulentos. Mesmo com números potencialmente tão expressivos, as empresas de busca e muitos dos seus clientes vêm defendendo que o problema em suas redes está sob controle. Entretanto, alguns observadores do mercado de cliques online, como a Holcomb, acreditam que a fraude de clique traz prejuízos da ordem de bilhões de dólares e, como dito anteriormente, possuem o potencial de causar danos importantesà indústria cimo um todo. Independentemente do número exato, a fraude de clique hoje está impregnada no negócio de anúncios pela Internet, e, muito embora as ferramentas de busca procurem se defender de diferentes maneiras, os fraudadores tornam-se cada vez mais sofisticados e os programas utilizados para automatização da fraude são cada vez mais complexos, disfarçando, inclusive, a origem dos cliques.

As pesquisas realizadas nesta área, em sua grande maioria, investigam a fraude do publisher, já que ela pode ser generalizada para a fraude do advertiser. Além disso, tais pesquisas invariavelmente discutem a detecção da fraude através de diversos métodos, tais como: a abordagem criptográfica, técnicas de análise de dados, ferramentas para detecção de fraude, análise de tráfego, e algoritmos de força bruta. Entretanto, todos estes métodos são técnicas de detecção, e tratam a fraude depois que ela ocorreu. Como já dito anteriormente, os programas têm se tornado cada vez mais complexos e a detecção da fraude tem se tornado um problema de difícil resolução. Por estas razões, é preciso desenvolver uma metodologia focada na prevenção da fraude de clique, de maneira que a detecção se faça desnecessária, ou no mínimo secundária. Com efeito, encontra-se em pleno desenvolvimento no contexto do grupo de Segurança Computacional do Centro de Informática da UFPE um esquema que envolve uma nova entidade, o comprovador, que por seu turno provê credenciais a clientes que respondam a um teste. Tais credenciais têm o papel de permitirque o representante seja capaz de distinguir os cliques válidos, realizados por humanos, de cliques originados do trafégo em geral. O comprovador é uma forma de classificar o clique, de maneira fortalecer a heurística de isolamento de cliques fraudulentos.A técnica é complementar a técnicas existentes para filtragem de cliques para validação.

No final das contas, trata-se de um método de prevenção de fraude de clique, o que vai ao encontro da grande maioria dos métodos de combate àfraude de clique atuais, que tratam a fraude após a ocorrência, por meio da detecção de cliques fraudulentos. Contrariamente aos métodos atuais de filtragem, o esquema em desenvolvimentose baseia no uso de testes de diferenciação entre humanos e computadores, através de CAPTCHAs. A resposta destes testes têm a função de servir de atestado de validade dos cliques, que após considerados “bons”, são contabilizados.



Rodrigo Alves Costa, Doutorando em Ciência da Computação, Centro de Informática da UFPE


Ruy José Guerra Barretto de Queiroz, Professor Associado, Centro de Informática da UFPE

A Personalização da Esfera Pública e a Bolha de Filtros

SÁB, 30 DE JULHO DE 2011 21:10

Vista como uma fonte diversificada, plural e aberta de informações sob os mais diversos pontos de vista, a internet nos remete a uma imagem de uma enorme biblioteca, com serviços como Google propiciando um mapa universal. Presumimos que a internet seja um grande instrumento para nos conectar e nos aproximar, e para ajudar a criar um mundo melhor, verdadeiramente mais plural e mais democrático. Não obstante, alguns indícios nos levam a suspeitar de que no momento a realidade pode ser bem diferente. Os anúncios que nos são exibidos, assim como os resultados de busca que obtemos na internet, e até mesmo as notícias veiculadas nos portais de grandes conglomerados jornalísticos e agregadores de notícias estão cada vez mais baseados em critérios automatizados de seleção: os chamados algoritmos de classificação estão personalizando o que chega até cada um de nós, e o mais grave é que não conhecemos e nem sequer somos alertados sobre os critérios adotados. É como se estivéssemos vivendo numa bolha de informações que proíbe a entrada de visões e perspectivas que divergem das nossas.

A personalização é viável devido sobretudo às tecnologias de rastreamento da navegação na rede. O fato é que, para melhorar a relevância dos anúncios e garantir uma melhor experiência online ao usuário, anunciantes e empresas de serviços na internet, aí incluídos busca, redes sociais, e-mail e comércio eletrônico, todos fazem uso de tecnologias de rastreamento das atividades do usuário por meio da gravação de pequenos arquivos conhecidos como “cookies” no sistema de arquivos do usuário. A partir dos dados gravados nos cookies é possível construir um perfil “comportamental” e demográfico do usuário, e daí personalizar sua experiência online.

O fenômeno da personalização da esfera pública já havia sido analisado por Cass Sunstein, influente jurista americano e hoje administrador do “Office of Information and Regulatory Affairs” do governo Obama, em seu livro “Republic.com” (Princeton Univ Press, 2002). Argumentando que a democracia depende de experiências compartilhadas e requer que os cidadãos sejam expostos a tópicos e idéias que não teriam escolhido antecipadamente, Sustein járevelava preocupação com os possíveis efeitos negativos trazidos pela internet com a facilidade de personalização do noticiário e a criação do que ele chamou de “Daily Me” (“Diário Eu”): “no ciberespaço, já temos a capacidade de filtrar tudo exceto o que desejamos ver, ouvir e ler”. Numa espécie de segunda edição reformulada sob a ótica da chamada “internet interativa”, Sustein em “Republic.com 2.0” (Princeton Univ Press, 2009)defende que, ao gravitar apenas em torno de blogs, podcasts e outras mídias sociais que reforçam suas próprias visões, o cidadão vai se privando de entrar em contato com perspectivas diferentes, e o sentido de “empoderamento” pessoal posteriormente associado a “liberdade” acaba alimentando o efeito “câmara de eco”, que substitui um sentido de unidade democrática com polarização acelerada. E essa tendência de se isolar em “casulos de informações” pode representar um dos efeitos mais perniciosos da internet sobre a esfera pública, argumenta Sunstein.

Se há alguma legitimidade na preocupação de Sustein como excesso de personalização que os próprios cidadãos estariam promovendo através do uso da tecnologia, imagine o cenário em que a personalização é feita por máquinas, algoritmos. Eli Pariser, ativista e coordenador da organização não-governamental  americana de cunho político MoveOn.org, em palestra no portal TED.com intitulada “Beware online ‘filterbubbles’” (Março 2011) chama a atenção para o fato de que, à medida que as empresas da web buscam incessantemente adaptar seus serviços (aí incluídos noticiários e engenhos de busca) às preferências pessoais de cada um dos seus clientes, surge um perigoso efeito colateral: o cidadão se vê preso numa “bolha de filtros” e não é exposto a informações que poderiam questionar ou ampliar sua própria visão de mundo. E o resultado é que “os filtros de personalização servem a um tipo de autopropaganda invisível, nos doutrinando com nossas próprias idéias, amplificando nossos desejos por coisas que nos são familiares e nos deixando cegos aos perigos à espreita no território negro do desconhecido.”

Como resultado de suas reflexões sobre as implicações sociais dessa bolha de filtros,Pariser, em seu livro “The Filter Bubble: What the Internet Is Hiding from You” (The Penguin Press HC, Maio 2011), chama a atenção para o fato de que, diferentemente do que se presume,os resultadosde uma busca no engenho da Google não são os mesmos para todos os usuários, nem idênticos para o mesmo usuário em momentos distintos. Desde Dezembro de 2009 que o algoritmo da Google de ordenação dos resultados usa diversas variáveis (vide o post “Personalized Search for everyone” publicado no “The Official Google Blog” em 04/12/2009), mais de 50 segundo fontes seguras, que envolvem desde o tipo de computador que está sendo usado, a história de navegação associada àquele usuário, até o tipo de navegador através do qual a busca foi solicitada, incluindo o local associado ao endereço de IP da máquina do usuário. Assim, uma busca sobre “células tronco”, por exemplo, poderia produzir resultados completamente diferentes  dependendo da posição de quem fez a busca, se entusiasta ou ativista contrário.Igualmente, uma busca por “prova das mudanças climáticas”pode levar a resultados bem distintos para um ambientalista, por um lado, e para um executivo de uma empresa de produção de energia considerada poluente, por outro lado.

Isso não ocorre apenas nos engenhos de busca. Nas redes sociais a personalização é ingrediente fundamental na fidelização do cliente. Alguém que tem centenas de amigos no Facebook, por exemplo, vai ver as notícias de mural provenientes apenas dos mais chegados, pois o algoritmo por trás do serviço da Facebook se baseia nas interações, nos cliques e nas declarações de “curtir” realizadas pelo usuário para ser capaz de fazer uma previsão do que, e de quem, mais lhe interessa. Algo semelhante faz o Yahoo! News para descobrir qual notícia mais interessa ao usuário com aquele perfil, a Netflix para conseguir recomendar o filme que mais se encaixa nos gostos do cliente com aquele histórico, a Amazon para adivinhar o livro ou produto que interessaria a alguém com perfil semelhante, a Zappos para encontrar que tipo de sapato está dentro das preferências, etc. Dizendo-se preocupado em “garantir que esses algoritmos carreguem um sentido de vida pública, um sentido de responsabilidade cívica,” Pariser clama por um ativismo cibernético que busque forçar essas empresas a cumprir o que muitas delas declaram como slogan de missão e de boas intenções (“Do no evil”, isto é, “Não seja do mal”, é o motto da Google). Lembrando a máxima de Melvin Kranzberg (1917–1995), um dos fundadores da Society for theHistoryof Technology, de que “tecnologia não é do bem nem é do mal, nem é neutra”, parece imperioso fazer o possível, seja por regulação governamental ou por pressão ativista não-governamental, que os melhores valores de uma sociedade aberta e democrática sejam refletidos no desenho da tecnologia.

Dizendo-se esperançoso de que a internet ainda venha a cumprir a promessa da interconexão global da humanidade, Pariser reconhece que, embora se revelando perfeita no apoio à formação de grupos de pessoas com interesses comuns, será preciso muito ativismo para garantir que a internet seja de fato berço do verdadeiro espírito democrático de tolerância e convivência plural. Como diz Evgeny Morozov em sua resenha do livro de Pariser (“YourOwnFacts”, New York Times, 10/06/2011), além do alerta para os perigos do excesso de personalização, “The Filter Bubble” merece aplausos pela advertência para o crescente poder dos intermediários da informação cujas regras, protocolos e motivações nem sempre são visíveis.

Ruy José Guerra Barretto de Queiroz, Professor Associado, Centro de Informática da UFPE