Página 1 de 2 12 ÚltimoÚltimo
Resultados 1 a 10 de 20
  1. #1
    Membro
    Data de Ingresso
    Jan 2014
    Posts
    17

    Anti-fraude e resposta a notificações de conteúdo ilícito

    Ola pessoal,
    Eu trabalho em uma empresa de Cyber Inspection e trabalhamos muito com casos de fraude.
    Um dos maiores problemas que temos hoje é o tempo de resposta do servidor. A partir do momento em que detectamos a fraude, notificamos o dono do dominio, provedor e CERTBr. O problema e que, mesmo com a jurisprudencia que exige a retirada do conteudo em 24hs sob pena de o provedor poder responder por omissão, muitas vezes a fraude fica no ar por vários dias e, pra piorar as coisas, muitos provedores não possuem um contato direto para lidar com esses casos.

    Eu acredito que o combate a fraudes e benefico tanto para os provedores quanto para as empresas de segurança e os fraudados em questão. Também entendo que os provedores recebem diariamente varios e-mails de abuso que devem se analisados e tals. Mas sera que não seria interessante criar uma forma de comunicação mais direta entre empresas de segurança/governo/polícia e os provedores para tentar alinhar procedimentos e retirar o conteúdo do ar mais rapidamente? Qual é a visão de vcs a respeito disso?

    agradeço comentários e sugestões de como vcs veriam um cenário ideal pra se resolver esse problema.

    Valeu!

  2. #2
    WHT-BR Top Member
    Data de Ingresso
    Jul 2011
    Posts
    1,036
    A jurisprudência tem estabelecido prazos de 24h para operações reconhecidamente grandes, ainda não vi nenhum pequeno provedor de hospedagem ser enquadrado dessa forma. Há um reconhecimento tácito de razoabilidade para que operações menores tenham um prazo maior não pré-determinado, mas que tende a recair em coisas como próximo dia útil.

    Eu acho que começar com esse tipo de ameaça pode não ser o melhor jeito de se incorporar isso à rotina dos provedores.

    Eu acho também um pouco pretensioso tentar equiparar empresas de segurança a governo ou polícia e pedir um canal privilegiado... o que fazemos com toda denúncia é olhar, em geral em menos de 24h, e ver se o domínio é de um fraudador ou de uma vítima que teve seu servidor invadido e está hospedando uma fraude, e no primeiro caso, congelar o domínio. Isso é feito independente de quem denuncia, analisando o mérito e não na base da carteirada.

    Congelamos vários domínios por dia, em geral em menos de 24h que são reportados, mas recebemos de diversas empresas de segurança um monte de pedidos que não fazem sentido para um registry, como pedir cópia das páginas, logs de IPs etc. ... então uma sugestão é ter perfis de alerta diferentes para registrars, registries, hosts e usuários finais, para que cada um receba apenas o número apropriado de alertas em que ele tenha capacidade de ação.

  3. #3
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Posts
    1,608
    Eu acredito que alguns grandes provedores tem problema de atraso para resolver problemas devido o recebimento de um volume muito grande de emails que impossibilita a leitura de emails que exigem prazos.

    E se tivesse um telefone de atendimento nesse setor, a todo instante receberiam ligações para resolver o problema x, y e z, esse email precisaria ser garimpado, a situação analisada e não vejo eficiência nisso, pois o problema ainda continuaria...

    Falando por exemplo de servidores compartilhados, dando com exemplo uma revenda que migrei p/ meu servidor, na varredura em tempo real foram encontrado + de 30 malware em cada um dos sites da revenda (que foi praticamente expulsa do provedor por abuso de recursos)

    Na verdade, cada um dos sites da revenda era uma hospedagem zumbi fazendo todo tipo de estrago na internet.

    Quando pensamos que migrei apenas 15 sites com esse problema, fico imaginando a situação x numero de contas no servidor x numero de servidores naquele provedor...

    Quantos emails o abuse deve receber com tudo quanto é tipo de reclamações desses servidores zumbis.

    Eu tenho curiosidade se para grandes provedores é difícil implementar soluções para diminuir esses problemas (problemas que deveriam ser levados mais a sério)

    Além de desafogar o abuse, certamente o suporte trabalharia com mais eficiência já que não teria que ficar apagando incêndio a todo instante...
    oGigante.com*• Revenda de Hospedagem Cloud Linux + WHMCS Grátis
    VWhost.com.br • Revenda de Hospedagem Linux Cpanel + CloudFlare
    Zocka.com.br • Hospedagem de Sites Cpanel + Construtor de Sites

  4. #4
    Membro
    Data de Ingresso
    Jan 2014
    Posts
    17
    Olá pessoal, obrigado pelas respostas!

    Legal ver o ponto de vista de vocês e entender um pouco melhor as suas dificuldades na questão. Deixa eu explicar um pouco melhor meu ponto de vista e em seguida debater com o que vocês escreveram.
    Eu vejo o combate a fraude como sedo dividido em 3 etapas.
    1a- Identificação/detecção da fraude e envio de notificação;
    2a - Remoção/indisponibilização do conteúdo;
    3a- Investigação do caso.

    Essas etapas, na verdade, podem ser aplicadas para qualquer crime e, no caso dos crimes não virtuais, a polícia é responsável por todas as etapas, mas na verdade qualquer pessoa pode ajudar.
    Por exemplo, se eu vejo alguém arrombando uma casa, eu não preciso esperar que alguém da polícia esteja passando por ali para tomar uma atitude. Eu posso Chamar a polícia eu mesmo. Nesse caso eu estaria fazendo a 1a ação, de identificar e notificar sobre o crime. Eu poderia também tentar gritar, soltar os cachorros ou seja o que for, tomar uma atitude para tentar impedir que o ladrão entre ou que ele saia o mais rápido possível, o que é a segunda ação. Já a responsabilidade de investigar quem estava invadindo e prender o suspeito é com a polícia, ou deveria ser, a não ser que a comunidade se junte para linchar o ladrão.

    Agora transferindo isso de volta ao cenário da fraude na web, o principal problema é que web e hoje uma "terra de ninguém", sem fronteiras, nem barreiras e poucas leis e pouca polícia, ou seja, o cenario ideal para quem quer cometer crimes. Sem uma polícia eficiente, algumas empresas contratam alguns "vigilantes" pra ficar de olho e protegê-los dos criminosos, é aí que entram as empresas de segurança. Porém, a única coisa que podemos fazer é identificar o crime e reportar para os provedores/donos do domínio, pois e ate onde nossos braços alcançam. Eu acredito que os provedores poderiam ajudar no papel de indisponibilizar o conteúdo e que as informações a respeito desses casos deveriam ser repassados à polícia para que eles investiguem da maneira como acharem válido para prender os suspeitos.

    Agora, trazendo isso tudo para a realidade, eu identifico alguns dos problemas que eu vejo hoje e onde talvez voces possam me ajudar a entender melhor e buscar soluções (ou descobrir que não há solução):

    - O fato de os provedores que possuem algum canal para casos de fraude normalmente o fazem através do canal de abuse: Isso para mim é algo que deveria ser remodelado pois há muita diferença entre fraude e demais tipos de abuse. Quando se trata de uso indevido de propriedade intelectual por exemplo, o limite entre o que é e o que não é conteúdo ilegal muitas vezes é bastante sutil e requer uma analise mais minunciosa. Mas para casos de fraude a coisa é bem explícita e clara. Fraude é fraude, é crime e uma vez identificado não ha muito o que se analisar, o mais importante é tornar o conteúdo indisponível o mais rápido possível pois cada hora no ar pode representar milhares sendo roubados. Acho que separar o joio do trigo de antemão facilitaria as coisas para todos os envolvidos, e é aí que eu entro na idéia de ter um canal específico/direto.

    - falta de responsabilidade: Na falta de lei própria e procedimentos padrão, a responsabilidade sobre ações ligadas a fraude entra num limbo, e é disso que os criminosos se aproveitam. Se a polícia não consegue detectar as fraudes e o conteudo demora a ser retirado, pra eles tudo e festa. Se dependermos de ações da polícia ou ações judiciais cada vez que encontrarmos um phishing, ate que o conteúdo seja retirado o criminoso ja embolsou o que queria. Como mencionei antes, cada hora que o site esta no ar são milhares de dolares roubados, ou seja, tempo definitivamente e dinheiro nesses casos e se ninguém é responsável por retirar o conteúdo, ate que se decida quem é que faz o que o dinheiro vai indo...

    - Falta de procedimento padrão: como não há nada estabelecido sobre como proceder (ao menos não de forma efetiva), cada provedor tem sua própria política no que se refere a crimes cibernéticos e os criminosos tendem a buscar pelos provedores que facilitam as coisas para eles e acaba criando uma bola de neve gigantesca.

    Resumindo, acho que a base do problema esta no fato da internet ter crescido demais de forma muito rápida e sem controle.. agora estamos numa fase de trocar o pneu com carro andando e logo tudo isso devera ser regulamentado, mas acho válido gerar a discussão para que todos os envolvidos comecem a buscar uma forma eficiente de lidar com o problema.

    Quanto à jurisprudência da Senadora Nancy Andrighi, me parece clara:

    “Uma vez notificado de que determinado texto ou imagem possui
    conteúdo ilícito, o provedor deve retirar o material do ar no prazo
    de 24 (vinte e quatro) horas, sob pena de responder solidariamente
    com o autor direto do dano, em virtude da omissão praticada.” (REsp 1323754 / RJ, RECURSO ESPECIAL 2012/0005748-4, Relatora: Ministra NANCY ANDRIGHI (1118), T3 – TERCEIRA TURMA, DJ 19/06/2012, RT vol 928 p748)

    O que acontece é que os casos de fraude são muitos e geralmente envolvem grandes bancos preferem não ter essas informações levadas a publico mas, teoricamente, se quisessem entrar com ação judicial, poderia gerar muita dor de cabeça, principalmente se aprovado o Marco Civil pois poderá abrir uma releitura quanto à remoção do conteúdo depender ou não de ação judicial.

    Eu, particularmente, acho que não se deveria responsabilizar os provedores por material ilícito em sites por eles hospedados, mas mais uma vez recorrendo às analogias, é como um dono de uma boate. Se alguém estiver vendendo drogas la dentro, isso não é culpa do dono, mas a partir do momento em que ele sabe que tem alguem vendendo a droga ele deve tomar uma atitude o quanto antes, se não estara sendo omisso e pode até dar a aentender, para a polícia, de que ele tem alguma responsabilidade no assunto.

    Mas enfim, eu ja escrevi demais, desculpa a o texto longo, gostaria de sabre a opinião de vocês.

  5. #5
    Membro
    Data de Ingresso
    Jan 2014
    Posts
    17
    Uma coisa que eu queria oerguntar pra voces dentro desta questão...

    Com base no que se foi dito, voces concordam que um dos problemas principais nisso tudo e que os casos de Fraude são tratados da mesma forma que crimes de direitos autorais/uso indevido de marca?

    Tanto aqui como no exterior, a maioria das leis e procedimentos são com base em direitos autorais/privacidade, inclusive no Marco Civil se vê um foco muito grande nisso. Mas o problema de fraude é, na sua essencia, muito diferente pela sua natureza e sua forma de combate muito mais simples, direta e objetiva.

    Eu acredito que se tratassemos casos de fraude em separado, com legislação e procedimentos especificos, isso poderia trazer benefícios para todos os envolvidos... o que voces pensam a respeito disso?

  6. #6
    WHT-BR Top Member
    Data de Ingresso
    Jul 2011
    Posts
    1,036
    Citação Postado originalmente por faxur Ver Post
    Uma coisa que eu queria oerguntar pra voces dentro desta questão...

    Com base no que se foi dito, voces concordam que um dos problemas principais nisso tudo e que os casos de Fraude são tratados da mesma forma que crimes de direitos autorais/uso indevido de marca?

    Tanto aqui como no exterior, a maioria das leis e procedimentos são com base em direitos autorais/privacidade, inclusive no Marco Civil se vê um foco muito grande nisso. Mas o problema de fraude é, na sua essencia, muito diferente pela sua natureza e sua forma de combate muito mais simples, direta e objetiva.

    Eu acredito que se tratassemos casos de fraude em separado, com legislação e procedimentos especificos, isso poderia trazer benefícios para todos os envolvidos... o que voces pensam a respeito disso?
    Eu discordo, e dei o exemplo do que fazemos que é diferente para fraudes e outras questões... fraude pode gerar congelamento imediato do domínio, enquanto outras denúncias disparam um procedimento de verificação de dados que é realizado com o domínio em operação, e só se ao final não for regularizado, o domínio é removido.

    A maioria das pessoas aqui está acostumada a descartar notificações DMCA, por saber que elas tem nulo valor... e junto com elas acabam quase todas as reclamações de direitos autorais, inclusive infelizmente as potencialmente válidas na nossa legislação. Já privacidade e demais questões de potenciais crimes contra a honra, e de pedofilia, costumam sim ter um encaminhamento efetivo.

    A minha impressão é que você gostaria que existisse uma legislação que desse um empurrão no seu negócio, que mesmo que beneficie as vítimas de fraude, é uma redivisão de recursos entre os agentes econômicos.

    Eu acho que antes disso, um pouco mais de atuação coordenada poderia ser tentado... eu não vejo por exemplo a FEBRABAN reagindo a multiplicação de fraudes envolvendo boletos, sendo que bastaria eles rodarem os mesmos detectores de padrões já usados em autorização de cartões de créditos para os pagamentos via boletos, notando por exemplo que uma conta de repente começou a receber grande volume de pagamentos. Há muita coisa para se tentar antes de jogar a toalha e colocar legislação em cima do problema.

  7. #7
    Membro
    Data de Ingresso
    Jan 2014
    Posts
    17
    Legal ver teu ponto de vista, mas não entendi o o porque tu discordas que leis e procedimentos diferenciados possam trazer beneficios para todos.
    Pelo que entendi, no teu caso, vcs ja tem procedimentos diferenciados para fraude. A meu ver, um "filtro" nos casos de abuse pode trazer beneficios e agilizar o processo... e não vejo como isso não traga benefícios a todos, a não ser que a implementação desse filtro seja caro ou trabalhoso demais pra os provedores, e aí acho que entra a colaboração entre os interessados para se resolver a questão.

    Eu não estou querendo dar um "empurrão" no meu negócio, ate porque o negócio não é meu, heheheh. eu acabei de entrar na empresa e estou tentando entender melhor o problema para chegar à sua raiz... eu já sei quais são as dificuldades e pensamentos da empresa em relação a isso, mas gostaria de saber de pessoas que trabalham com provedores o seu ponto de vista, pq eu posso deduzir de diversas formas a causa do problema dentro de uma visao dos provedores, mas nada melhor do que debater o assunto com voces pra entender o processo.

    Eu estou fazendo esse debate em forums internacionais também e vejo que, de uma forma geral, mais la fora do que aqui, a base da questão é o interesse. A maioria dos provedores simplesmente faz aquilo que são obrigados a fazer. o que muitas vezes é compreensível e justificável, principalmente em servidores que recebem um fluxo grande de notificações pois, de um ponto de vista puramente economico, não ha vantagem em se organizar um processo para facilitar a retirada das fraudes para os provedores... mas, a longo prazo, leis e procedimentos específicos e um combate de forma mais eficiente, no mínimo, desencorajaria os casos de fraude ao dificultar a ação e torná-la menos lucrativa na medida que quanto menos tempo a fraude fica no ar, menos dinheiro rende... menos dinheiro=menos interesse em se fazer fraude=menos casos de fraude=menos trabalho de retirada de conteudo para os provedores, ou seja, a longo prazo, beneficio para todos.


    E aqui eu justifico meu ponto de que meu interesse vai além do "empurrão" no negócio pois, para uma empresa de segurança, quanto mais fraude mais trabalho... as minhas idéias e visão vão bem mais além, mas ai entraríamos em discussões fislosóficas e que acabariam desviando o foco desta discussão.

    E por fim, eu concordo plenamente contigo que uma atuação coordenada seria o ideal. Acho que falta união entre os envolvidos em buscar soluções mútuas e que sirvam para todos é o que dificulta esse processo, mas, mais uma vez, eu me questiono se há interesse em se trabalhar em conjunto. Nesse caso, a legislação serviria como um intermediador, estabelecendo a norma a ser seguida por todos, que eu entendo não ser ideal visto que seria imposto, mas não sei até que ponto se poderia depender da boa vontade para que as coisas funcionem, principalmente empresas grandes onde o interesse econômico e o que rege o rumo das ações.

  8. #8
    Moderador
    Data de Ingresso
    Oct 2010
    Localização
    Rio de Janeiro
    Posts
    2,679
    Vamos lá: eu trabalhei anos com datacenters nos EUA, trabalho para um ainda hoje (e atendo Live Chat de vendas; sendo que o mesmo é de vendas só e somente, mas tem sempre um chato do SOC da Telefonica ou do HSBC querendo reportar fraude mesmo a gente insistindo que é o canal errado) e também trabalho com ambientes no Brasil.
    Na cabeça dos provedores onde eu trabalhei, a simples existência de um time de Abuse/Segurança serve única e exclusivamente a interesses da empresa para não gerar prejuízos maiores. Isso porque não é papel do provedor (simples intermediário) julgar conteúdo (a menos que este esteja fora de seus termos de serviço - e.g. conheço vários provedores cristãos que proíbem pornografia em sua rede e, quando detectam esta num cliente, pedem para este se retirar). O provedor não é juiz e não pode sair dizendo o que pode e o que não pode, ainda mais se você levar em conta as múltiplas jurisdições em que o conjunto provedor-site-cliente-reclamante possam estar, e as leis conflitantes e diferentes em cada uma delas. Fora o fator liberdade de expressão.
    Assim, a equipe de abuse é um fast track para alguns casos mais crassos/óbvios/que interessem à empresa (por exemplo, DDoS saindo da rede, o que gera custos para a mesma; ou spam, que gera custos e má reputação para o provedor), mas o único certo e ideal é apenas a obediência à ordem judicial/policial através dos canais oficiais. Fraude está por ultimo na lista de prioridades, pois envolve nullroutes e congelamento de acesso a servidor/site/conta de revenda para manter a integridade dos dados pra quando a policia pedir depois (ou seja, dá trabalho extra). E quando o servidor inteiro (sua propriedade) é levado como prova pela polícia e vc nunca mais vê (já aconteceu comigo)?

    Não obstante, o mercado de hosting de sites opera em múltiplos/quase infinitos níveis de revenda da revenda da revenda da revenda da revenda. E por isso, quando chega uma notificação ao dono do IP (que pode não ser o datacenter, mas apenas o provedor de banda), esta tem de ser transmitida "pra baixo" (ou em loop tortuoso) até chegar no end-user, e isso pode levar alguns dias dependendo da "profundidade" das revendas. A não-notificação até o final da "cadeia alimentar" pode gerar problemas jurídicos para o provedor. Fora que equipes de abuse em geral não são 24x7 (custo desnecessário e opcional) e há feriados e fins de semana envolvidos (ou gente doente ou de ferias).

  9. #9
    Moderador
    Data de Ingresso
    Oct 2010
    Localização
    Rio de Janeiro
    Posts
    2,679
    Complementando: eu quero é MENOS legislação sobre qualquer coisa, e não MAIS. Não me interessa o governo se metendo nos meus negócios (e nem a nenhum empresário em perfeita sanidade que eu conheça). Chega de Estado-Babá.

  10. #10
    Membro
    Data de Ingresso
    Jan 2014
    Posts
    17
    Olá Cresci, obrigado pela tua resposta.

    A respeito do pessoal mandar notificações pelo canal de vendas, isso normalmente acontece, ao menos onde eu trabalho, quando se esgotam as outras possibilidades de contato. Na falta de resposta ou falta de um canal exclusivo de abuse o pessoal tenta o que estiver ao seu alcance. Esse problema seria resolvido se houvesse um canal eficiente de notificar abuse.

    A respeito de como os servidores fora do país tendem a agir, na maioria dos provedores grandes e exatamente como disseste... eles seguem a jurisdição local e fazem apenas o que a lei manda... e é justamente por isso que eu vejo como uma das unicas soluções para o problema a implementação de leis específicas, pois isso parece ser a única forma de agilizar o processo, principalmente por fraude ser, como disseste, a última prioridade (mesmo sendo o caso de abuse de mais fácil solução).

    A questão das revendas é outro problema de difícil solução... muitas vezes o dono do site não tem a minima noção de como funciona o processo e relacão entre revendedores e provedores e enquanto se tenta organizar as coisas o tempo passa e a fraude tá no ar.

    Eu entendo e concordo plenamente que o papel do provedor não é o de julgar e estou longe de pensar que deveriam faze-lo, mas nos casos de fraude não ha nem o que julgar... fraude é fraude e não ha muito o que se ter de problema em remove-la ou torná-la indisponível pois o que estamos tornando indisponível não e o conteúdo do dono do site, mas sim o conteúdo ilicito e sua remoção é simples e facil pois enviamos o link diretamente na notificação. Infelizmente os provedores são os únicos capaz de limitar ou indisponibilizar o acesso e é por isso que precisamos dor provedores... se tivéssemos uma forma legal de retirar o conteúdo sem precisar do provedores, certamente o faríamos.

    De uma maneira geral, o que eu vejo e uma falta de interesse dos provedores em reduzir fraude pois não conseguem ver uma vantagem clara.
    Para mim, uma das vantagens principais em se resolver o caso de forma eficaz e justamente evitar que o governo acabe intervindo e impondo algo que talvez possa ser resolvido de maneira mais simples em trabalho conjunto entre provedores e empresas de segurança, mas como eu disse, eu não vejo isso acontecendo somente pela boa vontade dos envolvidos... infelizmente, enquanto não mexer no bolso, as empresas dificilmente se adiantam em fazer algo.

    vejo também que ha um certo teor político muitas vezes, pois a maioria dos casos de fraude prejudicam mais diretamente os Bancos, e poucas pessoas que eu conheço estão preocupadas se os bancos perdem dinheiro ou não... mas indiferente de quem esta sendo prejudicado (que tambem são os clientes dos bancos que muitas vezes tem seus dados robados e utilizados para os mais diversos fins), temos de lembrar quem esta sendo beneficiado com essas ações, que são criminosos.

    Fora isso, embora acreditemos que esse não é o caso em mais de 95% dos casos, como saber se os provedores em questão não estão envolvidos com os criminosos?

    É uma discussão que dá muito pano pra manga, mas da pra se notar que houve muito pouco debate sobre como agir nesses casos, assim que cada um puxa a brasa pro seu assado mas não vejo ninguém buscando uma solução que funcione para todos, por isso peço a opinição de voces sobre como vcs acreditam que o processo deva ser feito de modo que funcione a todos os envolvidos.

    E ressaltando sobre teu complemento, eu concordo plenamente contigo que o ideal não é ter o governo se metendo, até porque todos sabemos que governo para agir em prol de algo aqui demooooora, mas a unica maneira que eu vejo de evitar esperar pelo governo e evitar que eles acabem criando normas estapafurdias seria fazer com que as empresas interessadas juntassem esforços e buscassem soluções através de acordos e/ou parcerias, mas seria preciso interesse de ambas as partes.

Tags para este Tópico

Permissões de Postagem

  • Você não pode iniciar novos tópicos
  • Você não pode enviar respostas
  • Você não pode enviar anexos
  • Você não pode editar suas mensagens
  •