O amigo Anchises, como sempre, escreveu um post bem interessante sobre a censura quanto a disseminação da informação que acontece em nosso país. Desta vez, eu fui, ou melhor, o evento hackingday, o qual organizo, foi afetado.

Vamos ao post:

[Segurança] Censura à pesquisa no Brasil

Viramos Cuba? China?Mal a “Lei Carolina Dieckmann” entrou em vigorameaçando criminalizar a pesquisa em segurança no Brasil, e já temos a primeira baixa: o governo de São Paulo solicitou o cancelamento da palestra “Como paralisar uma linha de trem em São Paulo” no eventoHacking Day.A palestra pretendia mostrar uma vulnerabilidade na arquitetura do sistema de controle dos trens que poderia causar o paralisamento do transporte público (metrô e trem) em São Paulo. Pelo jeito, em vez de corrigir o problema, o governo optou pela solução mais fácil: censura.

A preocupação com a segurança do sistema de controle do metrô não é novidade, e ganhou um destaque extra no ano passado, quando uma colisão entre dois trens da Linha 3 – Vermelha do Metrô levantou o questionamento sobre a segurança da Linha 4 – Amarela, que usa um sistema computadorizado para controle dos trens, que operam sem maquinistas.

Fingir que o problema não existe e ameaçar prender quem discute isso não resolve nada, é como varrer a sujeira para debaixo do tapete: ela continua lá, pronta para ressurgir no primeiro vento.

Quando falamos em segurança da informação, censurar a divulgação de uma vulnerabilidade não corrige o problema. Muito pelo contrário, o risco continua existindo e pode ser explorado por qualquer ciber criminoso ou pessoa mal intencionada que se esforce em pesquisar e descobrir esta vulnerabilidade. E a censura só chama mais a atenção para o problema.

Na minha opinião, o cancelamento da palestra no Hacking Day é um precedente muito perigoso para todos nós: já pensou se a partir de agora o governo começar a censurar as pesquisas e os eventos de segurança? Posso ser um pouco paranóico, mas não podemos abrir mão da nossa liberdade de expressão nem de pensamento.

Que também fique claro que eu não estou advogando pela divulgação irresponsável de vulnerabilidades. O correto, que no mercado chamamos de “responsible disclosure”, é avisar o fabricante ou a empresa responsável sobre a vulnerabilidade encontrada e somente divulgá-la publicamente após a empresa tomar as devidas medidas corretivas. Isso garante que uma nova vulnerabilidade não será explorada por pessoas mal intencionadas quando ela for anunciada.

Comentários do Coruja:
Muito se especulou em listas de segurança, ditas underground, sobre a veracidade da palestra e da pesquisa.  

O fato é que o trabalho do Mister M. , palestrante responsável pela pesquisa, que não pode ter o nome revelado, apresentou uma tese plausível. Por este motivo que o governo do estado de SP, via o secretário de segurança e o governador, ordenou a não apresentação da palestra no hackingday 2013.

Ora bolas, existe transporte público mais importante para a cidade de SP do que o metrô ? Por este motivo a preocupação do governo do estado de SP com o conteúdo da palestra.

Nós, da organização do HackingDay, não desejamos causar quaisquer danos ou prejuízos junto aos cidadãos. Sabemos que a chamada do trabalho foi um tanto que assustadora, mas em momento algum, nós desejamos e queremos passar aos participantes do evento qualquer tipo de conhecimento que possa causar o mal.

Houve censura, como apontado pelo amigo Anchises ? Sim houve, mas não podemos ir contra a lei.

Só espero que isso não afete os outros evento de segurança da informação.

P.S.: Não se esqueçam que no dia 28 de Fevereiro, final desta semana, acaba a promoção da venda dos ingressos, passando o valor para R$ 160,00